自学内容网 自学内容网

[Bugku] web-CTF靶场详解!!!

平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。

           平台有题库、赛事预告、工具库、Writeup库等模块。

---------------------------------

计算器:

              开启环境:

查看页面是个计算器

 理论上来说题目最多只能填0-9的答案,如果需要填大于9的需要修改maxlength参数 

得出flag

 

--------------------------------------------

GET

           开启环境:

可以看到一个意思是提交get类型 what=flag  会输出flag

 

所以我们在网址url后输入?what=flag

得出flag

--------------------------------------

POST

             开启环境:

得到一串代码(和get一样)

因为题目的post传参,所以我们用到一个火狐浏览器的插件就是hackbar /进行post传参

得出flag

---------------------------------

矛盾

            开启环境:

进入页面

分析语义能够发现,“矛盾”一词是指,如果需要返回flag的值,则num既需要满足!is_numeric(),又需要==1。
看似是矛盾的、不可能的条件,但是我们知道,==是一种弱类型比较,如果发现两边的类型不同,则首先转换为相同类型再比较,而将字符串转换为数字的方式是取字符串前缀出现的数字,前缀没有数字则为0。
那么我们设num为1a,得到flag为:

得出flag

---------------------------------

alert

               开启环境:

打开页面提示我们flag就在这里

f12查看

发现一串编码,判断为Unicode编码  复制最下面的编码,搜索Unicode在线解码

得出flag


原文地址:https://blog.csdn.net/muyuchen110/article/details/140858054

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!