NSSCTF -- web

待做

下载抓包的插件
阅读理解第一题相关经验贴
ctfshow：https://shimo.im/docs/dPHgKrQXWp9wtqgr

What is Web

想学web吗，不妨从这篇文章开始吧！！ burp链接：https://pan.baidu.com/s/1-H9vXWl-eBuhNjfk0RpGzg 提取码：gz4l --来自百度网盘超级会员V5的分享
可以参考这篇文章：https://zhuanlan.zhihu.com/p/409570216

常见Web安全漏洞大致可以分为：信息泄露、弱口令爆破、命令执行、文件包含、php特性、文件上传、sql注入、反序列化、代码审计、XSS、jwt、SSRF、CSRF

先深入理解这些漏洞背后的原理和知识，然后运用于实战化（CTF模拟）

推荐新手刷题平台：ctf.show

有些童鞋会问，从哪里开始呢？

大家莫慌，先从一个搭建一个网页，理解运行机理开始吧！

本地服务器的搭建：利用phpstudy搭建一个wamp

参考链接：https://blog.csdn.net/weixin_43837883/article/details/114021104
最终实现，其实并不需要你实现安装一个wordpress博客。在网页所在的根目录找到index.html即可。

思考一下问题：

理解index的作用
网页的目录和URL的关系是什么
是否所有的服务需要打开

之后呢童鞋们可以学习一下web前端html的语言构造（学习了这个就可以解出这个题哟）以及了解js是什么

然后学习一下php的语言（不需要那么精通的啦，只要知道他和C有什么不同就好啦）

然后就可以开始学习一些漏洞啦，可以从最简单的php特性开始。

三、书籍推荐

学web入门吧推荐是《web安全深度剖析》虽然内容有些老，但是对新手入门很友好。
《web前端黑客技术揭秘》偏向于前端黑客知识，都是些理论话的东西
还有是徐焱的《web安全攻防》这本书偏向于web渗透实战，手把手教你如何搭建环境。还有配套的源代码，可以边搞实战技巧边玩代码审计。
再然后就是道哥的《白帽子讲web安全》了，萌新读这个可能会有点困难，但是这本书不可不读，里面的思想方法值得学习。
中后期就是偏向于编程和脚本了，搞web首先就是要学号PHP，然后可以学python（CTF题目很多是要写脚本的）学好编程并能写一些简单的工具是web渗透的分水岭。。。。

四、工具推荐

编译环境安装
python3（推荐使用anaconda）
java17（官网下载即可）
方便我们使用的软件
notepad++
utool
印象笔记
Typora

web学习必备软件

PHPstorm（建议2021.3，破解教程上b站）

参考链接：https://www.bilibili.com/video/BV1mS4y1S7vi?spm_id_from=333.999.0.0&vd_source=26cdda127d95f0cf72a9aaf938e78b7e
burpsuite（需要java17的环境，安装包可以在百度云下载）

参考链接：http://landasika.top/2022/05/26/burpsuite2021安装/
Navicat15（管理数据库的软件）

参考链接：https://cloud.tencent.com/developer/article/1804255
wireshark（流量分析用的）

安装使用教程：https://www.cnblogs.com/kendoziyu/p/win7-install-wireshark-and-npcap.html
安装包在官网下载过于缓慢，Wireshark-win64-3.6.7版本已经放在飞书软件共享文档
安装的时候建议安装 USBPcap，就是默认是不安装，开始的时候勾选上即可。

Interesting_http

Please post me a want !

HackBar相关介绍：https://blog.csdn.net/qq_36292543/article/details/118938996

2048

根据题目提示达到20000，CTRL+U查看页面源代码，搜索：
alert(String.fromCharCode(24685,21916,33,102,108,97,103,123,53,51,49,54,48,99,56,56,56,101,50,53,99,51,102,56,50,56,98,50,51,101,51,49,54,97,55,97,101,48,56,51,125));
alert是HTML DOM 中用到的一种脚本语言，它的中文意思是“提醒”。它是JavaScript或VBscript脚本语言中窗口window对象的一个常用方法；其主要用法就是在你自己定义了一定的函数以后，通过执行相应的操作，所弹出对话框的语言。并且alert对话框通常用于一些对用户的提示信息。常见的为alert函数。
*提示 warning ：怪异模式，可能是网页样式版本低（此页面处于怪异模式，排版布局可能会受到影响。若需要标准模式，请使用“”。）； allow pasting
fromCharCode() 可接受一个指定的 Unicode 值，然后返回一个字符串。

注意：该方法是 String 的静态方法，字符串中的每个字符都由单独的 Unicode 数字编码指定。使用语法： String.fromCharCode()。

Unicode和UTF-8/16

https://zhuanlan.zhihu.com/p/106379925
alert是弹窗 fromCharCode暗示是Unicode
获得flag{xxx},注意把flag改为NSSCTF即可

2/4

输入手机号长度限制
CTFweb篇——操作JS，更改输入框长度

原始页面没东西 看响应\请求头