萌萌萌新的writeup

web

1 view_source

  • 在谷歌浏览器中直接右键点击查看源代码,可以在一只牛牛的注释代码上面发现flag

    2 robots协议

    Robots协议是Web站点和搜索引擎爬虫交互的一种方式,Robots.txt是存放在站点根目录下的一个纯文本文件。该文件可以指定搜索引擎爬虫只抓取指定的内容,或者是禁止搜索引擎爬虫抓取网站的部分或全部内容。当一个搜索引擎爬虫访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索引擎爬虫就会按照该文件中的内容来确定访问的范围;如果该文件不存在,那么搜索引擎爬虫就沿着链接抓取。另外,robots.txt必须放置在一个站点的根目录下,而且文件名必须全部小写。如果搜索引擎爬虫要访问的网站地址是 http://www.w3.org/,那么robots.txt文件必须能够通过http://www.w3.org/robots.txt打开并看到里面的内容。

  • 在网址的后面输入robots.txt,就可以发现网站不允许被爬取的是flaaaggg.php这个页面,接着在网址后面输入flaaaggg.php就得到了flag。

    3 get&post

    所需工具:火狐浏览器,Hackbar Quantum(hackbar好像不能用了)

    GET提交,请求的数据会附在URL之后(就是把数据放置在HTTP协中),以?分割URL和传输数据,多个参数用&连接例如如果数据是英文字母字,原样发送,如果是空格,转换为+,如果是中文/其他字符,则直接把字符串用BASE64加密,得出如: %E4%BD%A0%E5%A5%BD,其中%XX中的XX为该符号以16进制表示的ASCII。

POST提交:把提交的数据放置在是HTTP包的包体中。上文示例中红色字体标明的就是实际的传输数据因此,GET提交的数据会在地址栏中显示出来,而POST提交,地址栏不会改变

2、传输数据的大小:首先声明:HTTP协议没有对传输的数据大小进行限制,HTTP协议规范也没有对URL长度进行限制。而在实际开发中存在的限制主要有:GET:特定浏览器和服务器对URL长度有限制,例如 IE对URL长度的限制是2083字节(2K+35)。对于其他浏览器,如Netscape、FireFox等,理论上没有长度限制,其限制取决于操作系 统的支持。因此对于GET提交时,传输数据就会受到URL长度的 限制。POST:由于不是通过URL传值,理论上数据不受 限。但实际各个WEB服务器会规定对post提交数据大小进行限制,Apache、IIS6都有各自的配置。

  • 做题思路:了解基本的php语法后可以知道只要分别让变量0xGame以get方式等于acd666tql,X1cT34m以post方式等于acd666tql,就可以得到flag。

4 wh1sper’s_secret_garden
工具:火狐浏览器,burpsuite
参考 header题总结
学会使用burpsuite之后一步步抓包依据提示修改即可。

Misc

1 签到

  • 在rules页面发现flag,copy一下就可。

    2 easybase

  • 先运用base64在线解码工具解码,然后发现是16进制再转化为ASCII码即可。

    3 QR_repair

  • 打开发现是GIF格式的二维码,可以用分帧工具分解得到4张图片,然后在ps里把有二维码的两张图片拼接在一起,最后找到qr码的定位图,调整到合适大小,组合在一起,最后扫码得到flag。

gif格式
隐写书介绍

二周目

just_login

检查网页源代码,没有啥问题,尝试用一下万能密码

一:username:1’=’0 password:1’=’0

二:username:what’=’ password:what’=’

三:username:admin’=’ password:admin’=’

differentPic

用Stegsolve打开图片,选择对比功能,在异或时可以看到一张二维码,

extract

感觉是最低有效位LSB隐写,但没做出来