LOV3

无限进步

首页 已发布 标签 友链 关于

NewStarCTF 2022 WriteUp

2024-07-02 1 min read # Fun

BUU 想找下 2023 年的 Crypto,不过搜 NewStarCTF 搜出来第一题就是个 Web,水一水先

Week1 HTTP

要求 GET 传 name

?name=1

要求 POST 传 key

key=1

依旧显示 POST 传 key,查看网页源码,发现注释中存在 key

请求体加上 Content-Type: application/x-www-form-urlencoded 后提交 key

显示不是 admin,请求体加上 Cookie: user=admin

得到 flag

Week5 最后的流量分析

随便翻翻流量,发现 substr() select() 推测是 SQL 盲注。那现在目的就是从盲注服务器返回正确请求体找盲注字符即可,而我们又知道 flag 头为 flag{,定位到 substr 1-5 即可确认正常返回长度/页面。写个脚本提取即可

RSS DK盾 - 高防服务器赞助商