入门题鉴赏
disabled_button
https://adworld.xctf.org.cn/challenges/list
解决思路:因为说的是前端的button坏掉了,于是我们用查看器查看他的页面源代码,发现有个disabled,就是不能的意思
将 disabled 删掉即可!
总结:前端JS代码查看修改
weak_auth
https://adworld.xctf.org.cn/challenges/list
暴力破解,蹭运气
我真就是随便输入了几个数,他就给我 flag 了!
正常做法肯定还是bp爆破,python脚本编写
simple_php
很明显看到题目是PHP代码块
思路:在题目中我们可以看到,a需要与0进行弱比较(任何一个整数都不可以,因为都比0大,于是我们优先想到字符串)其次我们看到b那里需要不是数字,我们就可以跳过if判断它是数字的代码,而且他又要大于1234,随便给一个值并且加上几个字母即可!
这里说明一点:php 在字符串与数字比较的时候,会把字符串转化为数字,在转化的时候会先判断
xff_referer
首先解释一下名词含义:
X-Forwarded-For(XFF):是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段
它的作用:使Web服务器获取访问用户的IP真实地址(可伪造)
referer:是HTTP头部的一部分,当浏览器向web服务器发送请求时,一般会带上Referer,用来表示从哪个页面链接到当前的网页,服务器因此可以获得一些信息用于处理,采用的格式是URL
作用:通过HTTP Referer,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。Referer可以用来判断请求来源是否合法,从而防止恶意攻击
这道题很明显就是利用上面两者作用结合做的
标签:web,HTTP,请求,攻防,disabled,CTF,Referer,服务器 From: https://www.cnblogs.com/Alaso687/p/18348711