合天赛前指导题(6道)

题目一 捉迷藏

看到页面，什么也没有，习惯先查看源代码

 

 

但是点击链接http://218.76.35.75:20111/Index.php后发现flag闪一下就没有了

于是用开发者工具看一下，

 

发现flag:FLAG{th!5!5n0tth3fl@g}

 

题目二 简单问答

看到这个题目，都是简单的题

 

 

Q1 2016

Q2 首字母缩写 lol

Q3 SSH的默认端口 22

做完题发现 提交按钮不能按，查看一下源代码，发现有个隐藏限制

 

 

把disabled改成abled，hidden的value改成true

发现还是提交不了，抓包看一下

 

 

把+号去掉，2015改成2016，q4改成q3

 

 

Flag{W3ll_d0n3}

 

题目三 后台后台后台

看到题目，先enter一下

 

 

提示要有管理员权限

 

 

我直接改了cookies这的member，改成了admin

发现是错误的，仔细观察，member后面的这一串好像是base64加密过的，解密一下，发现是Normal，于是把admin加密一下YWRtaW4=，更改member=YWRtaW4=，提交，不对

看到Normal是大写的，于是Admin加密一下，QWRtaW4=,提交一下

 

 

题目七 简单的文件上传

题目说上传一个php文件

 

上传

 

 

它说只接受jpg文件，将上传文件改成jpg

改一下请求主体里的文件类型改成php

 

flag:Upl00d30668ss9h97aFil3

 

题目八 简单的JS

点进题目链接，只有一首诗，查看源代码

 

发现一段代码，由题目可以知道这是JS编码

在控制台，运行一下，把空格去掉

 

发现有个链接，点进去

 

查看一下cookies

 

题目九 PHP是门松散的语言

 

 

看到代码，大概读了一下，尝试改url

’heetian’=he=’abcd’不对

去掉引号

http://218.76.35.75:20124/?heetian=he=abcd