picoCTF Web1

目录

GET aHEAD

Cookies

Insp3ct0r

Scavenger Hunt   寻宝游戏

 Some Assembly Required 1 

where are the robots

logon

It is my Birthday 

Who are you? 

login

dont-use-client-side

caas

picobrowser

 Client-side-again

Web Gauntlet

Irish-Name-Repo

 Irish-Name-Repo 2

Irish-Name-Repo 3

JaWT Scratchpad

Super Serial 

---

GET aHEAD

抓包，是将请求方法换成HEAD ，

Cookies

查看cookie里面是 name=-1，思路是name=1，然后没出来，就试，name=18出来了

应该是用burp爆破或者写爬虫脚本来完成更好一些

Insp3ct0r

标题没看懂是啥，但很简单，看源码，在html，css，js里分别有一段flag

Scavenger Hunt   寻宝游戏

前两段flag在html和css源码里，js里有这句话

有点懵，原来是代指robots协议

 apache服务器，也不懂看什么，是要看.htaccess文件，记好笔记

这里要看.DS_Store ，是一个特殊的 MacOS 文件，用于存储有关当前文件夹的信息。

 Some Assembly Required 1 

源码里有个js链接，点进去，混淆的js，看了wp预期解好难，根本看不懂

 还有些做法是这个文件有些搞特殊，是个路径，直解能访问下载

记事本打开，flag出来 

where are the robots

直接robots.txt 很简单

logon

The factory is hiding things from all of its users. Can you login as Joe and find what they've been looking at?

要求以Joe的身份登入

我试了一下，什么用户名密码都告诉你登录成功，但是没有flag，

查看cookie，发现admin=False，改成True

It is my Birthday 

根据提示，上传两个pdf文件，且md5值相同 ，github有，我就直接下载下来上传了

https://github.com/corkami/collisions/blob/master/examples/free/md5-1.pdf

https://github.com/corkami/collisions/blob/master/examples/free/md5-2.pdf

然后就出现php源码了

Who are you? 

抓包

User-Agent：PicoBrowser

得到：I don't trust users visiting from another site.

Referer: http://mercury.picoctf.net:39114/

得到：Sorry, this site only worked in 2018. 

Date: Mon, 11 11 2018 12:12:12

得到：I don't trust users who can be tracked. （跟踪）

 DNT: 1  （"Do Not Track" header）

得到：This website is only for people from Sweden.（瑞典）

X-Forwarded-For: 193.150.233.115

得到：You're in Sweden but you don't speak Swedish?

Accept-Language: sv

得到flag

login

源码里有个index.js链接

打开时js代码，格式化一下，虽然有些看不懂

 但是这里base64解码就是flag

dont-use-client-side

 打开源码就看见这个

 不知道预期怎么写，反正直接组装也提交上了

caas

访问给的链接后是

 通过url来获取信息，第一个就想到rce，没有注入点就用管道符绕过{message}来执行命令

我试了用 & | ； 都可以

/{meeage}&ls;

/{message}&cat falg.txt;  注意这里是falg 妈的坑p 

picobrowser

根据题意，直接把user-agent修改为picobrowser 即可

 Client-side-again

flag藏在混淆后的js代码里面

找了半天wp，我就还是死拼出来的，picoCTF{not_this_again_ef49bf}

Web Gauntlet

Can you beat the filters? Log in as admin

是一个sql注入的题目，五个关卡，每过一关会提示过滤哪些字符

picoCTF 2020 Mini-Competition - Web Gauntlet SQL Injection

第一关：过滤 or

admin' --    (这里好像注释只能用--表示）

没写下去

Irish-Name-Repo

直接sql 万能密码注入

 Irish-Name-Repo 2

中间不能有空格

Irish-Name-Repo 3

抓包，看见debug=0，直接修改为1，发现有sql语句回显

那么在password这里使用万能密码，回显是be，与输入的or不一样 

这里是rot13加密，

 为了实现回显 or ，我们输入be，rot13后就是or

JaWT Scratchpad

jwt ，应该就是需要得到admin的token，先随便注册一个

然后抓包到token

 用在线解析,关于这个秘钥，用jwt爆破工具 爆破出来的，搞了一天我死活用不了

后来去学了hashcat ，倒是可以用，不过暴力9位数还是太难了，密钥直接拿来用了

 

Super Serial 

robots.txt 有提示 ，然后访问index.phps 获得源码

我认为这句话重点

setcookie("login", urlencode(base64_encode(serialize($perm_res))), time() + (86400 * 30), "/");

题目有提示：The flag is at ../flag

题目打不开，先这样放着了