Hgame-Week1-web
web1-Cosmos 的博客
打开网站
发现提及到博客、github、版本管理工具,可以联想到git泄露(hexo博客能是白搭建的吗!!!)
构造url(/.git/config)
发现目标仓库
根据提示解码
web2-接头霸王
根据提示利用burpsuit修改HTTP请求头 如图
得到flag
web3-Code World
打开之后发现报错403 Forbidden
查看源代码发现
很显然是被人刻意改动了,然后跳转到了/new.php
我们用burpsuit抓包发现其实报错是405 Not Allowed
百度一下405 Not Allowed这个报错
就是两种请求方式之间出错 然后我们修改请求方式即可正常打开
根据提示利用url传参?a=4+6
这里+需要url编码%2b 即?a=4%2b6
然后利用POST请求得到flag
web4-?尼泰玫
打开是个小游戏 cxk打篮球(手动滑稽)
提示我们需要30000分才能拿到flag
然后我们在网络状态中发现了submit这个文件
查看之后发现是把分数数据发送给后台然后判断,我们直接抓包编辑重发
得到flag
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020-2-1,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
