admin
时间:2018年10月6日 汇报人:王祎洁
题目:
http://web.jarvisoj.com:32792/
题解:
进入网页,发现只有一个hello
尝试index.php,没有发现;尝试robots.txt,发现新大陆
跳转该页面,发现一个假的flag
联想题目admin,考虑抓包修改admin,将admin=0修改成任意值,比如admin=1,运行后,发现获取到了真正的flag
(跳转到下一张图:右键 send to repeater)
-
PS:为什么要尝试index.php和robots.php?
因为,在没有任何头绪,发现不出来任何问题的网页上,考虑文件包含,想是不是在其他文件中会有信息存在,而从目前小白我仅仅做过的几道题中,我发现,最常输入的就是:index.php、flag.php、_ctf.php、robots.txt,实际上,最直接,不去猜测的方式是burp+字典扫描,但是,我个人觉得,可以先尝试这几个比较常用的会直接一些,快一些,但是,在这几个尝试后仍没有发现时,可以采用扫描(其实扫描也不算慢)。