ywmow师傅说让我把题全做了 好让他看wp 呜呜呜呜
但我太菜了 没有做出几道 呜呜呜
官方wp:【官方题解】腾讯网络安全T-Star高校挑战赛write up - 云+社区 - 腾讯云 (tencent.com)https://cloud.tencent.com/developer/article/1986640
第一题:
F12查看数据 发现
把disabled 属性清掉 还有登录的那个
本来以为输入自己手机 会收到验证码 发现上当了 他采用js文件与cookie来判断
随便输入手机号 点击验证码 burpsuit抓包
传到repeater模块里 发现错了
换成符合要求的 也就是11位数字
把data里的内容用登录提交 同时更改session为刚才抓包得到的
发现进入后台 找了一圈没发现啥好的
xxe当时没找到
第二题 :找id背后主人 猜了个腾讯总部 深圳
出来了...
第三题:
第四题:需要QR_Research工具 内容直接扫就出来了 得到一个网址 下载到一个加密的压缩包
然后原始附带的压缩包是头错误了 用winhex修改下
头:50 4B 05 06 zip文件标记位 得到了一道音频 用Audacity得到 音频 评价是 不如套神出的那道
这就是个简单的莫斯密码
.----/----./----./.----/-----/...--/---../-..../--.../----./--...
解码 txt出来就是压缩包密码 得到网址Shop Homepage - Start Bootstrap Template (hacker5t2ohub.com)
就是flag
第五题:
用第四题的网址 qq号登录
想要激情小电影发现钱不够 tnnd 只能暴打出题人了 但我还是想要小电影
burpsuit抓包
修下价格为-1或者0发现waf
如果好好的弄 发现
playload解码:
后面又在js中发现了一些玩意
想到pwnthebox里面的溢出 但不会 giao
第六题:初始是一个简单的word隐藏内容
然后寄了
我好菜啊
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)