[picoCTF]Insp3ct0r write up

原创 已于 2022-03-25 21:14:59 修改 · 721 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#webstorm

于 2022-03-25 09:08:25 首次发布
本文介绍了一种通过浏览器检查工具寻找隐藏flag的方法。该方法涉及使用F12打开页面源代码,以及检查CSS和JS文件来收集完整的flag信息。

根据提示,需要检查浏览器上的Web代码(动手翻译一下啦)

(漫不经心的瞅瞅页面,curl+UUUUUUU(一只U就行)一下下,微微瞄一瞄,where is flag?

fn+f12(或其它)打开源代码(朵拉你瞅见了么?)

 得到一部分flag:<!-- Html is neat. Anyways have 1/3 of the flag: picoCTF{tru3_d3 -->

查看目录上的mycss.css和myjs.js (不想看也行,hhhhhhhhhh)

 朵拉在这里!!!1!!11!1!!1

得到两部分flag:/* You need CSS to make pretty pages. Here's part 2/3 of the flag: t3ct1ve_0r_ju5t */

/* Javascript sure is neat. Anyways part 3/3 of the flag: _lucky?832b0699} */

即获取完整flag:picoCTF{tru3_d3t3ct1ve_0r_ju5t_lucky?832b0699} 

五小只flag,靓仔都无语啦!

这题和Scavenger Hunt 做法一样,只不过更简单 !

有兴趣的看我上一篇wp吧!

picoCTF 2022 web
qq_61768489的博客
04-10 3730
Includes 看题目以为文件包含啥的 很简单,直接看源码,然后里面有 两个源码链接,点进去就是flag Inspect HTML 直接看源码。。 Local Authority 打不开网页 不过也是源码类的题目 Search source js源码找了半天没找到,还是在css翻到了 Forbidden Paths We know that the website files live in/usr/share/nginx/html/and ...
picoctf——Insp3ct0r wp
m0_62851980的博客
03-25 417
打开网页没有什么信息,直接f12: 提示的很清楚了: <!-- Html is neat. Anyways have 1/3 of the flag: picoCTF{tru3_d3 --> 这一部分的注释告诉我们flag被分为了三部分,而已知: so,剩下的flag必在css和js里 用Ctrl r刷新网络,圈出来css和js: 可以知道myjs.js有一部分flag(3/3),直接网址输入myjs.js查看即可,同理,我们在查看器查看源码,可以看到css的名称..
picoCTF,Web Exploitation,网页开发类,39/45
Allezima阿力代码
02-10 4969
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。202302月10日,将帖子拆分……
PicoCTF学习记录(自存)
2302_80002065的博客
08-02 1146
查看server.py,发现如果我们输入了 cookie 名称列表中给出的 cookie 名称,就将进入第一个 if 语句,但错过嵌套的 if。这个字符串由三部分组成,用点(.)分隔,看起来像是JWT:eyJ2ZXJ5X2F1dGgiOiJibGFuayJ9.aD2vVA.f1lCpakk60X0wQzdhpHPAacXAGk。CTRL + U查看源代码,找到flag,拼凑后即可得到完整flag:picoCTF{no_clients_plz_b706c5}”,继续用header设置。
PicoCTF-2019-WirteUp
Zichel77的博客
11-25 1730
1. 2Warm-General Skills 直接将十进制转化为二进制 picoCTF{101010} 2. Insp3ct0r-Web Exploitation https://2019shell1.picoctf.com/problem/63975/ 点击链接看到如下页面 点击What没有变化,点击How出现如下页面 说明是分别从HTML,CS...
PicoCTF2021:Git du CTF PicoCTF版本2021
04-05
PicoCTF2021 解决方案在2021年版《麻烦日报》上的无人驾驶解决方案(Voici mon petitdépôtsansprétention) 密码学 网络开发 领先 饼干 寻宝游戏 需要一些组装1 需要一些组装2 逆向工程 转型 速度和进给 法证 资讯资讯 娃娃娃 Wireshark doo dooo doo… 一般技能 听话的猫 Python争吵 挥旗 尼斯网猫 静电并不总是噪音 Tab,Tab,Attack Magikarp地面任务
marc-insp3ktah-giroux基本错误无重定向__8-1253
02-15
基本无错误重定向 描述 您知道每个人都是如何告诉您使用标头重定向的,您现在可能知道只有在尚未发送标头的情况下,此方法才有效。...meta http-equiv="refresh" content="0;URL=&#39;.$url.&#39;">&#39;); } ?>
insp-azure
03-12
WordPress的-INSP 笔记 在根目录和ShowPress插件(content \ plugins \ ShowPress)中使用Composer-composer安装应在两个地方都运行 为了使它们起作用,某些软件包将不会与“ composer install”一起安装: Block 8...
insp.ccic.com__存在源码泄露漏洞1
08-08
3. **数据包中的额外敏感数据**:备份文件可能包含了多个文件夹,攻击者可以挖掘到更多的敏感信息。 4. **代码审计与利用**:一旦备份文件被下载,攻击者可以通过代码审计来寻找漏洞,可能导致更大的危害。 5. **...
DELL N4050BIOS包 A07版本 DELL,SW,BIOS,INSP,N4050,,A07
09-23
DELL N4050BIOS包 A07版本 DELL,SW,BIOS,INSP,N4050,,A07 此文件格式包含BIOS可执行文件。该通用(Windows/MS DOS)格式可用于从Windows XP、Windows 2000、NT、Windows 9X、Windows ME或MS DOS环境安装。
DELL N4050BIOS包 A06版本 DELL,SW,BIOS,INSP,N4050,A06,A06
09-23
DELL N4050BIOS包 A06版本 此文件格式包含BIOS可执行文件。该通用(Windows/MS DOS)格式可用于从Windows XP、Windows 2000、NT、Windows 9X、Windows ME或MS DOS环境安装。
2021 Picoctf pwn部分wp
weixin_46521144的博客
07-18 701
首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。 Gauntlet1 在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。 那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。 exp from pwn import * context.
picoctf 2021 Scavenger Hunt
weixin_55466841的博客
05-05 292
part1 part2 part3 robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.tx.
picoCTF2021 GET aHEAD
scrawman的博客
04-05 1180
题目提示: Hints1:Maybe you have more than 2 choices Hints2:Check out tools like Burpsuite to modify your requests and look at the responses 用bp抓包会发现Choose Red用的是GET方法,Choose Blue用的是POST方法(其实源码里也能看出来),结合Hints猜测可能要用其它的请求方法。查了一下发现HTTP请求还有一个HEAD方法,正好题目名字也是GET aHE.
picoCTF Web1
qq_61768489的博客
04-10 4596
GET aHEAD 抓包,是将请求方法换成HEAD , Cookies 查看cookie里面是 name=-1,思路是name=1,然后没出来,就试,name=18出来了 应该是用burp爆破或者写爬虫脚本来完成更好一些 Insp3ct0r 标题没看懂是啥,但很简单,看源码,在html,css,js里分别有一段flag Scavenger Hunt 寻宝游戏 前两段flag在html和css源码里,js里有这句话 有点懵,原来是代指robots协议 apache服务器,...
picoCTF2022】Web部分
Sparks_Pion的博客
03-27 1555
Includes picoCTF{1nclu51v17y_1of2_f7w_2of2_5a94a145} Inspect HTML picoCTF{1n5p3t0r_0f_h7ml_b101a689} Local Authority picoCTF{j5_15_7r4n5p4r3n7_b964a657} Search source 保存网页,直接搜 Forbidden Paths 路径穿越 Power Cookie 重载函数 Roboto Sans 扫网站 看 robots.txt b
Abaqus 2024安装教程及下载
最新发布
12-29
Abaqus 2024安装教程及下载
基于Spring Boot框架的大学生体测管理系统的设计与实现源码.zip
12-29
基于Spring Boot框架的大学生体测管理系统的设计与实现源码.zip
Binary file insp.log matches
06-13
当你使用 `grep` 命令查找文件时,如果你的文件是二进制文件而不是文本文件,会出现 `Binary file file_name matches` 的提示,这是因为 `grep` 命令默认情况下只能处理文本文件,而不能处理二进制文件。...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值