知道0ctf比较难,没想到这么难..
思路明确,就是不会 T^T
就撸了一道审计题
一个很简单的登陆系统,给了源码,先放一张超萌的喵
重要的源码给出
这是一道ruby题... bkp真会玩,web只有rb和py
题目首页只有一句话 浏览/flag 和/source
妹的 我当然浏览/flag 然后...
2333 进入正题 看源码 不要怕 每一行我都在后面解释了~
题目给了一个网站链接和源码
网站就是一个问卷调查 问你name,quest,和喜欢的颜色 然后返回查询结果
不过结果被页面的js处理了一下 只有一个数字
可以用chrome的一个websocket应用直接看原来的返回
先看看源码吧
感觉这次web好难 感谢各路大牛的助攻
去实验室和学长们一起讨论 感觉还是很high的
讲道理还是要写一波wp
就是一个上传的页面
常规的改文件名 和 固定后缀
看标题 应该是大写某个东西绕过
试过 爆破文件名后缀 各种大小写配合 无果
最后