中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

網頁闖關小游戲闖關記錄(一)ISA TEST

發布時間:2020-07-27 15:56:21 來源:網絡 閱讀:916 作者:LHertz 欄目:安全技術

在知乎上找到一個關于CTF入門的回答,答主很專業的給出了建議和一些對應的訓練平臺,這里我試了試幾個,自己半吊子水平,只能玩一些簡單的,這里把自己做的過程記錄下來,這幾個基本都能查到通關秘籍(我是怎么知道的?沒錯我太渣沒法通關去查秘籍了),我寫下來只當是自己的備忘,大牛請無視。。。。

ISA TEST看起來貌似是深圳職業技術學院計算機學院信息安全協會做的一個闖關小游戲,一共7關,難度較低,我這種渣渣都能做,不過最后一關還是查了writeup。


第一關:

網頁闖關小游戲闖關記錄(一)ISA TEST

和類似闖關游戲的套路相同,第一關都很簡單,密碼肯定藏在網頁源碼里,查看源碼在注釋里得到密碼為26212baa24fecb0e22ebb545534ea766,密碼是自動隨機生成的,這里給出密碼并沒有什么意義……進入下一關。

網頁闖關小游戲闖關記錄(一)ISA TEST


第二關,簡單的加密,

網頁闖關小游戲闖關記錄(一)ISA TEST

剛好之前了解了一些簡單的加密知識,看出來這是base64加密過的密碼(也是隨機生成的),去找一個可以解密base64的網站解密得到dd94ee970c52d62052ff6f635bf5eaa7,進入第三關。


第三關是一個繞過本地驗證的題目:

網頁闖關小游戲闖關記錄(一)ISA TEST

查看源碼,發現提交表單的時候會觸發function check(),通過源代碼中的函數代碼可以看出這段函數的功能是:判斷密碼框是否為空,如果為空就提示密碼不能為空,如果不為空在判斷長度是否超過了30位(如果不加任何修改就提交或者輸入任何長度超過30的密碼),如果超過了30位就提示密碼長度不能超過30 ,如果既不為空長度也在30以內就提示密碼是balabala然后再把框里的內容改成這個密碼,而無論哪一種情況,函數都會返回false,也就是沒法完成提交。所以這里我們的思路就是繞過這個函數,這里提供兩種思路,一個是:既然是通過調用js函數實現驗證,那就禁用js好了,我用的chrome瀏覽器,可以單獨對這個域名禁用js腳本,禁用之后重新刷新進入第四關,不過不要忘了把js再啟用;第二個思路是利用firebug強大的網頁即時修改功能,把調用函數的那一步跳過,比如把onsubmit事件改為“return true”(如下圖),無論如何都提交表單,這樣也可以進入下一關,而且還能看到一個通關成功的提示。

網頁闖關小游戲闖關記錄(一)ISA TEST


第四關:

這也是很常見的在文件里面藏key的做法,社團logo這張圖片下載到本地,用UE打開為16進制和文本,按照一般套路,直接拉到文件最下面,看到

網頁闖關小游戲闖關記錄(一)ISA TEST

……可以感受到作者希望我們找到密碼的真摯迫切的心情。


第五關:

一個社工題:

網頁闖關小游戲闖關記錄(一)ISA TEST

協會的門牌號,這個就要去這個協會的相關網站上去找找了,先去到主域名,是一個主頁,鏈接到論壇、游戲等等,進入論壇,不難找到頁面最下方有關于協會的介紹,當然也有門牌號401


第六關:

網頁闖關小游戲闖關記錄(一)ISA TEST

這種游戲的提示一般都會起兩種作用:提供線索或者擾亂思緒,這里明顯是前者,作者說已經給我了,我第一反應是藏在前幾個關卡中,自己沒主意疏忽了,又從頭過了一遍前面的題目,沒有發現,又想服務器給了我http的響應包,會不會藏在包里,或者,會不會藏在cookie里面。這里試探性用chrome上非常強大的插件edit this cookie看了下果然cookie里面有一項ISA_Level_6_password,它的值就是通關密碼。

網頁闖關小游戲闖關記錄(一)ISA TEST


最后一關:這是我覺得最難最難也是最有意思的一關,實話說,這一關我沒做出來,我搜的答案,我沒理解作者說的慣性思維會阻礙我是啥意思,而且作者又說把密碼告訴我了……我就又去查了cookie,又去抓了包,沒有找到任何有價值的信息,最后實在沒辦法去搜了答案……看來我腦洞還不夠大……作者確實告訴了我們密碼是什么,因為密碼就是“什么”……

網頁闖關小游戲闖關記錄(一)ISA TEST

這個闖關游戲做的比較簡單,適合我這種新手,而且也很有意思,界面做的我覺得很棒,能讓我這種門外漢YY一把高手的感覺。。。

還是那句話,我是渣渣,此文僅作備忘,如果有什么錯誤的地方(肯定有)還請大家指教,我也在努力學習中……

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

凌源市| 乐东| 南雄市| 栾城县| 徐闻县| 宿州市| 如东县| 津南区| 罗城| 宁阳县| 隆子县| 长岭县| 门头沟区| 长顺县| 神池县| 阜宁县| 大邑县| 梁河县| 察哈| 涿鹿县| 正镶白旗| 石家庄市| 霍邱县| 化州市| 海阳市| 甘孜县| 新源县| 开鲁县| 广河县| 宜良县| 泰安市| 晋城| 新宁县| 临江市| 庆阳市| 奉新县| 新河县| 华蓥市| 丰镇市| 茌平县| 黄陵县|