bilibili2020 1024ctf安全挑战赛(上)

时间  2021-05-04 标签 2020那些做过的ctf http web 信息安全 安全

答题地址:http://45.113.201.36/start.html
flag为动态,每人都不一样,在此只提供思路
第一题:
直接F12查看源码
在这里插入图片描述

找到flag: b0e5f3f3-321b5688-c05c2a64-e2bb4b6f

第二题:
还是这个页面,我们要把user-agent修改为bilibili Security Browser
在这里插入图片描述
由于hackbar需要付费。所以我们在火狐浏览器上使用HackBar V2插件
在这里插入图片描述
修改user-agent
在这里插入图片描述
Execute运行后,在源码里发现flag可能存在的url:“api/ctf/2”
在这里插入图片描述

输入网址得到flag: 8cd4fc0c-063cba05-0ca507c3-d1c28a84
在这里插入图片描述
第三题:
看题目是输入账号密码
在这里插入图片描述
聪明的你一定想到了是弱口令**,于是直接burpsuite一顿梭,结果字典跑完都没出来。。太草了,直接上答案
账号:admin
密码:bilibili
直呼内行 得到flag
在这里插入图片描述
第四题:
只有超级管理员才能看见
在这里插入图片描述
超级管理员的英语是Administrator ,加密成32位的md5:7b7bc2512ee1fedcd76bdc68926d4f7b ,然后替换cookie里面的role值
在这里插入图片描述
修改后 repeater 发送
在这里插入图片描述
或者在hackbar里面修改也行 真香!
在这里插入图片描述
输入网址 找到flag: 3f6ee453-895f4488-77f9dcfa-9299ff97
在这里插入图片描述
第五题:
直接F12 发现要进入api/ctf/5?uid=10336889
在这里插入图片描述
然后啥都没有 扑街 burpsuite梭一下,换uid ,我只换了后4位
在这里插入图片描述
得到flag: dcff0b12-4900e46c-82974754-3bbb43fa

后面的暂时还不会写。再更

联系我们 沪ICP备13005482号-10