腾讯网络安全T-Star高校挑战赛

ywmow师傅说让我把题全做了 好让他看wp 呜呜呜呜

但我太菜了 没有做出几道 呜呜呜 

官方wp:【官方题解】腾讯网络安全T-Star高校挑战赛write up - 云+社区 - 腾讯云 (tencent.com)https://cloud.tencent.com/developer/article/1986640

第一题：

F12查看数据 发现

把disabled 属性清掉 还有登录的那个

本来以为输入自己手机 会收到验证码 发现上当了 他采用js文件与cookie来判断

随便输入手机号 点击验证码 burpsuit抓包 

 传到repeater模块里 发现错了

换成符合要求的 也就是11位数字

 把data里的内容用登录提交 同时更改session为刚才抓包得到的

发现进入后台 找了一圈没发现啥好的

xxe当时没找到

第二题 ：找id背后主人 猜了个腾讯总部 深圳

出来了...

第三题：

第四题：需要QR_Research工具 内容直接扫就出来了 得到一个网址 下载到一个加密的压缩包

然后原始附带的压缩包是头错误了 用winhex修改下

头:50 4B 05 06 zip文件标记位 得到了一道音频 用Audacity得到 音频 评价是 不如套神出的那道 

这就是个简单的莫斯密码

 .----/----./----./.----/-----/...--/---../-..../--.../----./--...

解码 txt出来就是压缩包密码 得到网址Shop Homepage - Start Bootstrap Template (hacker5t2ohub.com)

就是flag

第五题：

用第四题的网址 qq号登录

 想要激情小电影发现钱不够 tnnd 只能暴打出题人了 但我还是想要小电影

burpsuit抓包 

 修下价格为-1或者0发现waf

如果好好的弄 发现

playload解码： 

后面又在js中发现了一些玩意

想到pwnthebox里面的溢出 但不会 giao

第六题：初始是一个简单的word隐藏内容 

然后寄了

我好菜啊