前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >CTF---Web入门第十六题 天下武功唯快不破

CTF---Web入门第十六题 天下武功唯快不破

作者头像
Angel_Kitty
发布2018-04-10 11:30:05
9130
发布2018-04-10 11:30:05
举报
文章被收录于专栏:小樱的经验随笔

天下武功唯快不破分值:10

  • 来源: 北邮天枢战队
  • 难度:易
  • 参与人数:10787人
  • Get Flag:2264人
  • 答题人数:3373人
  • 解题通过率:67%

看看响应头

格式:CTF{ }

解题链接: http://ctf5.shiyanbar.com/web/10/10.php

原题链接:http://www.shiyanbar.com/ctf/1854

【解题报告】

  这是我入门Web以来写的第十六题,打开解题链接,,发现页面中提示 :

代码语言:javascript
复制
There is no martial art is indefectible, while the fastest speed is the only way for long success.
>>>>>>----You must do it as fast as you can!----<<<<<<

查看网页源码 , 发现结尾处有一段注释 :

代码语言:javascript
复制
<!-- please post what you find with parameter:key -->

提示让我们查看"响应头" , 并将数据以POST的形式发送 :

在响应头中发现了KEY, 看起来像是一个Base64编码, 多次尝试后发现数据是随机生成的

尝试是用Chrome浏览器的PostMan插件进行Post方式提交 : (也可以利用其他的工具 : 火狐/自定义相应头是用nc进行提交/利用Python脚本)

但是并没有出现结果 , 又想到刚才的提示中提到 , 要尽可能得快速提交 , 因此开始写脚本 :

代码语言:javascript
复制
1 import requests
2 import base64
3 r = requests.post('http://ctf5.shiyanbar.com/web/10/10.php')
4 key = r.headers['FLAG']
5 flag = base64.b64decode(key).decode().split(':')[1]
6 para = {'key':flag}
7 r = requests.post('http://ctf5.shiyanbar.com/web/10/10.php',data = para)
8 print r.text

这样就拿下了flag的值!!!

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2017-11-19 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 天下武功唯快不破分值:10
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档