本文介绍了参加2017年广东省强网杯线上赛时,解决WEB难题的详细过程。通过查看网页源代码、使用御剑扫描和Burpsuite抓包,发现解密线索涉及Base64和ROT13算法。通过尝试不同用户身份,最终确定使用'admin'。结合发现的uploads目录,尝试POST上传并转换数据类型,成功上传文件并获取flag。
打开网址
查看网页源代码
将网址在御剑里扫
扫的同时,burpsuite抓包,一般情况下,考虑到出题说我是谁,所以一般想到用户身份,会在cookie/session这边动手脚
所以base64一下
得到f:5:"thrfg";
挨个试了一下解密,发现是rot13(也有看别人的writeup)
因为权限不够,所以尝试admin
最低0.47元/天 解锁文章
扫一扫
评论 2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
