第二届360杯全国大学生信息安全技术大赛部分解题思路(WEB安全)
来源:互联网 发布:中国国民收入数据库 编辑:程序博客网 时间:2024/04/30 08:54
第一题如下:
用burpsuit设置好代理后,点击发送验证码,可以看到如下:
然后go之后可以看到如下的验证码:
提交验证码后即可获得key
第二题如下:
通过/data/mysql_error_trace.inc,在日志中找到后台登陆地址/miaomiaomiaomiaoaichiyu/login.htm,admin/admin 登陆,
或分析源文件js代码 得到通关密钥。通关密钥为:goodjobboy!
第三题如下:
点击seek可以看到:
Seek的hex值就是7365656b,那么我们把7365656b改为bob的hex值626f62
发现是一个超链接,直接点开可以看到如下:
看到此处直接联想到如下:
可以看到一句referer:http://360.cn
直接跑到burpsuit中可以得到key:
第四题如下:
选手通过构造< a>标签,执行跳转js,发现仅提交一个href会提示:
href里内容被清空了,所以我们构造两个href,形式类似于< a href=”跳转url”;href=”任意url”;/>即可绕过。以下的跳转链接是可行的:< a href="javascript:window.location.href='http://ctf.360.cn:8080/location/success';" href="任意url">xss其中javascript里跳转脚本还可以是:1.javascript:window.location.href=2.javascript:window.history.back(-1);3.javascript:window.navigate("xx.jsp");| IE4.javascript:self.location=5.javascript:top.location=
第五题如下:
根据file参数读取nginx.conf配置文件,&file=../../../../../etc/nginx.conf,如下所示:
再构造以下链接即可得到通关key:
&path=/news/%0d%0aX-Accel-Redirect:%20/secret/flag
key:
d1f2605cf396de867ba1582f113cb951
参考文献:第二届360杯全国大学生信息安全技术大赛官方题解
0 0
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(WEB安全)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(WEB安全)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(加密解密题)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(网络与协议)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(数字取证)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(逆向分析)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(数字取证)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(网络与协议)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(加密解密题)
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(逆向分析)
- 记第七届全国大学生信息安全技术大赛暨四川省大学生信息安全竞赛
- 360杯信息安全技术大赛Web第一题分析
- 360杯信息安全技术大赛Web第一题分析
- 『reverse』2016年全国大学生信息安全大赛——珍贵资料解题报告
- 第十届全国大学生信息安全竞赛一道Web题的Writeup
- 第三届全国网络空间安全技术大赛 Web补题 By Assassin(持续更新)
- 第十届全国大学生信息安全竞赛-线上赛 write up(持续更新)
- 第九届全国大学生信息安全竞赛之旅
- 无罪推定
- sdut oj 2615传纸条
- VMware的.vmdk文件只赠不减的处理方法
- Oracle包和REF CURSOR
- UVA 6440 Emergency Handling 队列
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(WEB安全)
- 今天又今天又今天又非挖方为人服务蜂王乳
- 输入一个数组,判断该数组是否是某二叉树的前序遍历结果
- 杭电 3270 The Diophantine Equation
- 扑克序列
- Spring MVC 框架搭建及详解
- eclipse+axis2配置
- U-boot 2014 启动流程详细分析
- Oracle笔记之序列