初入CTF

          第一次接触ctf，刷了一下攻防世界的初阶题目，记一笔：

前期准备：链接：https://pan.baidu.com/s/1aZ-ez_qk5v_Y3NKgUWkqDw 提取码：3hto 

view_source

题目如图，打开后发现右键不能使用

使用view-source: 注释就是flag
 

---

get_post

题意如图，打开网址学过url的就会知道get方式是直接附加参数完成题目要求，得到第二步，由于post不能直接完成，我们需要一个之前下载好的插件：hackbar

execute

flag到手

---

robots

打开网站啥也没有，联想到题目“robots协议”访问一下看看有没有这个文件

按照提示继续访问

flag到手

---

backup

题意如图，打开网址php备份文件一般是bak即index.php.bak，访问一下下载，打开flag到手

---

cookie

题意如图，开网站

既然是cookie，那我们就看一下

获得提示，访问一下获得提示，看response头flag到手

---

disabled_button

题意如图，开网址

嗯，不能按的按钮，检查一下去掉disabled

点击一下

flag到手

---

simple_js

题意如图，开网址发现不管输入什么都错误

查看源代码

发现如图所示的js，注意返回永远是返回错误的，但是这一串转义字符引起了我的注意，写个小程序输出一下

注意题目特别提示了flag的格式，显然不是这样的，既然用到了转义字符，那么这一串数字可能是ascll码，输出一下看看

看起来这个就是的了，把它带入到开头的格式中提交，完成

---

xff_refere

题意如图，打开网址意思是要伪装地址，打开我们的，注意，运行的是loader

https://www.52pojie.cn/thread-691448-1-1.html激活攻略

设置代理

刷新网页

flag到手

---

weak_auth

题目如图，打开网址随便登陆一下

试一下123456

flag到手

这是我运气好，真正的解法burpsuite爆破

---

webshell

题意如上，打开网址

这是经典的一句话木马，注意'shell'，打开我们的最新版过狗菜刀，配置如下

点击文件管理

flag到手

---

command_execution

开网址

没有过滤的ping，我们看一下他的目录

注意home，访问一下

我们cat一下

flag到手

---

simple_php

题意如上，开网站

这是一段php代码。我们要的显然是第一个和第三个if，构造一下

http://111.198.29.45:45981/?a=a&b=1235a

flag到手