开卷看题
/%E7%AE%A1%E7%90%86%E5%91%98%E7%B3%BB%E7%BB%9F/1.png)
吃过以前的亏,这次一定要好好看题
/%E7%AE%A1%E7%90%86%E5%91%98%E7%B3%BB%E7%BB%9F/2.png)
经典的登录框,可能是SQL注入或者爆破
寻找线索
CTF三件套:看源码、看响应、扫目录
先看看源码,发现在HTML下有许多空行(突然想起某度源码就是空了200行),翻翻有惊喜的啊
/%E7%AE%A1%E7%90%86%E5%91%98%E7%B3%BB%E7%BB%9F/3.png)
开始征战
base64解码:传送门
/%E7%AE%A1%E7%90%86%E5%91%98%E7%B3%BB%E7%BB%9F/4.png)
呦呵,看起来就好像密码,账户试一试admin
/%E7%AE%A1%E7%90%86%E5%91%98%E7%B3%BB%E7%BB%9F/5.png)
IP、本地格外的显眼,果断扔进repeater改包
/%E7%AE%A1%E7%90%86%E5%91%98%E7%B3%BB%E7%BB%9F/6.png)
拿下flag
后记
第一次做的时候先随便输入一个账号密码发现需要本地IP,果断的上了代理发现还是不行,当时十分疑惑,后来翻了翻其他大佬的WP才发现自己是多么的可笑,希望你们不要学我