本文概述了三个不同极客挑战赛中的技术环节,包括HTTP头操纵获取flag、PHP伪协议检测、以及使用UserAgent和扩展程序解决访问限制。参赛者需掌握HTTP1.3.5案例、EasySQL1的登录策略和Include1的PHP编码解密技巧。
[第一章][1.3.5 案例解析][极客大挑战 2019]Http 1
1.启动靶机
2.查看源代码,发现有链接
3.点击链接,跳转页面有提示,意思是:它并不来自于https:/Sycsecret.buuoj.cn
打开hackbar,如图所示,然后执行
4.得到提示,请使用Syclover阅览器
添加User Agent 为Syclover
5.得到flag
注:遇到如下这种情况 意思是:不! !你只能在本地阅读!!
可以添加扩展程序:X-Forwarded-For Header
设置本地IP:127.0.0.1
就可以访问,得到flag
[极客大挑战 2019]EasySQL1
1.启动靶机
2.随便输入账号和密码,提示用户密码错误
3.使用万能账号a' or true #
密码随意
4,得到flag
[ACTF2020 新生赛]Include1
1.启动靶机
2,点开tips
3,这个是一个文件包的题,需要对文件进行PHP伪协议检测
用/?file=php://input来访问输入数据
4.用?file=php://filter/convert.base64-encode/resource=flag.php
尝试使用 PHP 的 base64 编码过滤器来读取名为 flag.php 的文件
得到一串base64编码
5.通过解码得到flag
扫一扫
746
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
