网络安全攻防实验室通关教程-脚本关
来源:互联网 发布:电脑随机抽奖软件 编辑:程序博客网 时间:2024/05/17 07:49
网络安全攻防实验室地址:
传送门:http://hackinglab.cn
脚本关:
很多题目都是可以通过写python发暴力破解或者爬虫,写脚本比较花时间,所以我优先使用burpsuite
题目一:key又又找不到了
小明这次哭了,key又找不到了!!! key啊,你究竟藏到了哪里,为什么我看到的页面上都没有啊!!!!!!
还是开启fiddler抓数据包。
点击“到这里找key”后,新页面显示“我这里么有key。从哪里来回哪里去”,然后我们再返回
在fiddler中的search_key.php中找到了key
题目二:快速口算
小明要参加一个高技能比赛,要求每个人都要能够快速口算四则运算,2秒钟之内就能够得到结果,但是小明就是一个小学生没有经过特殊的培训,那小明能否通过快速口算测验呢?
这个复杂的四则运算,我想到直接python爬虫然后计算提交。
一定要记得用session免得获取到的算式和提交的不一样,结果都是错误的。
题目三:这个题目是空的
这个题目真不是随便设置的。 什么才是空的呢? 通关地址:没有,请直接提交答案(小写即可)
那就是null了
题目四:怎么就是不弹出key?
提交说明:提交前14个字符即可过关
JS源码中前面三个return false导致不能弹窗,我们右键查看源码,复制保存到本地 flag.html,删掉前面三个false的语句,浏览器打开获取flag
题目五:逗比验证码第一期
逗比的验证码,有没有难道不一样吗?
验证码的不规范是有些记录在cookie中cookie不变的话,验证码也不变,有些是验证码只验证一次
直接暴力破解获取flag
题目六:逗比验证码第二期
验证便失效的验证码
所以第二次再发送的时候直接验证码置空就行了。
第七题:逗比验证码第三期(session)
尼玛,验证码怎么可以这样逗比。。
验证码做成这样,你家里人知道吗?
其实跟第五题差不多,第五题是记录在cookie中,第七题记录在session中
第八题:微笑一下就过关
尼玛,碰到这样的题我能笑得出来嘛...
查看源码
发现过滤了很多,并且请求的参数要为 ^_^ 数据内容为(●'◡'●) 才可以获取flag
因为使用的file_get_contents方法又过滤了远程读取文件,所以考虑使用data的方法
构造url ?^.^=data:,(●'◡'●)
第九题:逗比的手机验证码
你的手机号码是13388886666,验证码将会以弹窗的形式给出
获取验证以后我们登录提示“please login as 13388886667”
所以获取验证码以后,我们把手机号码改为13388886667就可以了
所以应该是服务端未把验证码和手机号绑定起来
第十题:激情燃烧的岁月
Tips:你是一名黑客,你怀疑你的“(男/女)闺蜜”的出轨了,你要登陆TA手机的网上营业厅查看详单,一探究竟! 闺蜜手机号码:13388886666
看到这个就想到暴力破解验证码
暴力破解获得一个新的手机号,那么继续暴力破解这个手机号
获取flag
第十一题:依旧是验证码
验证码识别
Tips:验证码依然是3位数
这个要做验证码识别的,先放着
第十二题:XSS基础关
XSS基础:很容易就可以过关.XSS类题目必须在平台登录才能进行.登录地址请参考左侧<子系统>
要提交alert(HackingLab)就可以获取flag了
提交<script>alert(HackingLab)</script>
十三题:XXS基础简单绕过
直接提交上一关的脚本会被检测出来,所以我们换成别的
如:<img src=1 onerror=alert(HackingLab)>
第十四题:XSS基础3:检测和构造
alert' onmouseover=alert("success!")>
第十五题:
还在思考
- 网络安全攻防实验室通关教程-脚本关
- 网络安全攻防实验室通关教程-注入关
- 网络安全攻防实验室通关教程-上传关
- 网络安全攻防实验室通关教程-基础篇
- 网络安全实验室 CTF 脚本关
- 网络安全实验室脚本关第二题
- 网络信息安全攻防实验室 脚本关第二关
- 网络信息安全攻防实验室 脚本关第五关
- 网络信息安全攻防实验室 脚本关第六关
- 网络信息安全攻防实验室 脚本关第七关
- 网络安全实验室基础关 writeup
- 网络信息安全攻防实验室 第三关
- 网络信息安全攻防实验室 第四关
- 网络安全实验室基础关write up
- 网络信息安全攻防实验室之基础关
- 网络信息安全攻防平台 脚本关第一关
- 网络安全实验室
- 网络信息安全攻防学习平台-脚本关 writeup
- Google Pixel 2拍照黑科技:单摄搞定背景虚化+内部潜伏神秘芯片
- 现实版高达!美日巨型机器人格斗大战结果即将见分晓
- 问答Goodfellow:没有样例能不能训练机器学习算法?
- 用extern声明变量
- PCA算法原理
- 网络安全攻防实验室通关教程-脚本关
- haproxy+pecemaker
- C++ 普通函数和虚函数调用的区别
- 英特尔将推Nervana神经网络处理器,要让DL训练提速100倍
- python基础-变量、数据类型、input、格式化、运算符、流程控制
- 可执行文件
- 我是如何复盘个股的
- navicate连接阿里云服务器上的mysql
- 图片轮播小圆点