题1:
思路:题目说右键用不了,因为打开右键可以查看网页的代码,所以我们要想办法打开网页大源代码:
复制链接在浏览器上打开:
因为右键用不了:我们可以按一下快捷键:
1):可以直接按“F12”(不过有些电脑不可以,需要按“Fn+F12”)
2):直接按“Ctrl+u”
打开源代码后发现了flag的一般形式:所以就去验证然后就对了。这道题很简单。
题2:
题目应该是get和post传参:
POST和GET。POST是向服务器上传数据,GET是从服务器下载数据,
两者最大的区别就是GET请求没有请求主体(Request Body)。
GET请求直接将请求的参数跟在url的后面,向我们平时看到的 " /?id=xxxx&password=xxxx "就是GET请求的参数,服务器解析了url以后会将数据发送到我们的浏览器上。
POST请求则需要将上传的数据下载请求主体中。这样有一个好处是相比GET请求,POST请求具有更高的安全性,可上传的数据没有长度的限制。
思路:get 传参根据题目要求直接在URL后面跟所要传的参数;
post传参根据题目要求需要使用其它工具(这里用HackBar)在主体内传参
解题过程:
1)由get要求,输入get传参方式“?a=1”得post传参要求:
接着由于POST请求无法在url中体现出来,所以我们需要借助工具“HackBar”。
flag就会出现在题目中了:
但有些电脑不能直接得到flag;
所以要以下步骤:
题3:
题目是关于备份文件的;我们先来了解一些文件的有关知识:
很多开发人员在编辑文件前,都会先进行一次备份,同时会把备份文件和源文件放在服务器上的同一个地方。这样的话,如果存在绕过身份验证,就可以直接下载到这个备份文件,从而得到网站源代码。
有关备份文件的可以利用的情况主要有3种
代码编辑器产生的备份文件
没有删除版本控制系统(VCS)产生的备份文件
没有删除开发人员手动备份的文件
常见备份文件的后缀:
.rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html
于是我们打开文件的源代码,查看页面信息:
接着我们尝试用文件备份后缀名是否可以找到文件:
一个一个的试,到“.bar”后缀名时出现了flag:
解题关键是要了解文件备份的知识。
题4:
disabled_button:
打开题目后发现一个不能按的按钮:
接着按快捷键“F12”(Fn+F12)或“ctrl+u”查看源代码找到了不能按按钮的原因:
因为“disabled”键我们不能通过点击按钮提交表单,
因此我们可以直接在网页中把“disabled”键删除就可以啦!然后在按“flag”按钮就可以得到flag:
