BugkuCTF | Web 刷题笔记

时间:2024-03-19 09:07:22

10/29

目录

web2

BugkuCTF | Web 刷题笔记

F12出
flag KEY{Web-2-bugKssNNikls9100}

计算器

BugkuCTF | Web 刷题笔记

我们打开F12 发现她限制输入一位数,可是它的答案都是好几位,我们修改一下,就有了flag
flag{CTF-bugku-0032}

web基础$_GET

BugkuCTF | Web 刷题笔记

在上方加入?what=flag
flagflag{bugku_get_su8kej2en}

web基础$_POST

BugkuCTF | Web 刷题笔记

我们通过HackBar软件来伪造Post输入 what=flag
flagflag{bugku_get_ssseint67se}

矛盾

BugkuCTF | Web 刷题笔记

通过PHP的性质,也可以说是bug,我们在前面输入?num=a1
1aflag{bugku-789-ps-ssdf}

web3

BugkuCTF | Web 刷题笔记

直接审查元素发现密文,然后**

BugkuCTF | Web 刷题笔记

KEY{J2sa42ahJK-HS11III}

域名解析

BugkuCTF | Web 刷题笔记
这题我们借用工具先抓一手包
BugkuCTF | Web 刷题笔记

我们访问这个ip是404,我们给他解析一个域名

BugkuCTF | Web 刷题笔记

KEY{DSAHDSJ82HDS2211}

你必须让他停下

BugkuCTF | Web 刷题笔记
BugkuCTF | Web 刷题笔记
BugkuCTF | Web 刷题笔记

仔细一看,他是一直在重新加载图片,随机加载,这时候我们需要软件支持

BugkuCTF | Web 刷题笔记

运气挺好,一点就中,发现在第十张图片中有了flag flag{dummy_game_1s_s0_popular}

本地包含没了,打不开靶机

没了,打不开靶机

变量1

我们先读懂题目

BugkuCTF | Web 刷题笔记

然后我们要知道globals,是一个全局变量

BugkuCTF | Web 刷题笔记

我们就试试,发现小写给限制了我们就输入大写的

BugkuCTF | Web 刷题笔记

就出了他所有的变量了

BugkuCTF | Web 刷题笔记

flag{92853051ab894a64f7865cf3c2128b34}

web5

BugkuCTF | Web 刷题笔记

审查一下元素,就能看到jspfack加密,我直接在控制台解密

BugkuCTF | Web 刷题笔记

似乎不对,然后看一下题目要求,要全部大写
CTF{WHATFK}

头等舱

BugkuCTF | Web 刷题笔记

工具查看一下就有了
flag{Bugku_k8_23s_istra}

网站被黑

BugkuCTF | Web 刷题笔记

扫描一下,我们发现一个登录页面

BugkuCTF | Web 刷题笔记
BugkuCTF | Web 刷题笔记
BugkuCTF | Web 刷题笔记

直接**出了密码:hack
flag{hack_bug_ku035}