Bugku CTF web题

web2

 

查看网页源码，发现flag

 

 

文件上传测试

 

（初用burpsuite）

如果纯粹上传自己修改的后缀为php的文件，会得到提示不是图片文件，那么我们上传一张png格式图片，再用burpsuite修改文件后缀就行了，获得flag。

 

计算器

 

我们发现只能输入一个数字，那么必定源码对输入进行限制了，因此我们用f12查看网页源码

 

果不其然是限制了长度，将1改为3，输入正确结果，验证获取flag

 

web3

打开链接，弹窗关闭不了，二话不说看源码。

发现最后有段这个编码，典型html编码，用解码器在线解码获取flag

 

域名解析

使用虚拟机，将host文件修改，如果碰到没有权限修改，先将host文件放置桌面，再进行修改，最后放回文件夹，修改成功，访问目标网站，获取flag。（使用的是win7 64位的系统）

 

你必须让他停下

 

（神器burpsuite的用途应用）

猜测flag在其中的一些网页中，使用burp进行代理，然后使用Repeater都进行多次Go，然后发现flag

 

 

 

web5

 

打开源码，发现全是符号。

 

百度发现是JSFUCK。

你可以网上找到在线解码的地方，也可以直接在控制台输入。

 

去掉双引号，将字母大写，就是flag了。

 

头等舱

 

源码没什么发现，使用burpsuite抓包，使用repeater，从response发现flag。

 

web4

 

将p1的值加上中间的一段，再加上p2的值，进行URL解码，获取flag

 

点击一百万次

 

这里我们发现修改直接修改源码的值没有用，那么我们使用firebug进行修改元素值，因为我的Firefox的版本较高，firebug已经融入了开发者工具之中，所以，直接在控制台修改

 

获得flag。