练习平台:网络信息安全攻防学习平台
http://hackinglab.cn/index.php
需要登陆以后才能进行操作
点击左边的基础题
一共有12题
T1.
点击过关地址,可得
思路:
除了这行字,没有别的东西,立马联想到使用f12查看源代码(部分电脑使用的是Fn+F12)
T2.
思路:
想一下这么短,再加密一次可以得到key,大概是属于什么类型的密码
上面暗示了加密两次的结果等于明文
回转13位,ROT13,简单来说就是:要还原ROT13,只要套用原来使用的加密算法即可,是过去古罗马开发的凯撒加密的一种变体(凯撒加密中位移13位即可)
推荐加解密网站:
https://www.qqxiuzi.cn/bianma/kaisamima.php凯撒密码
ROT13
密码不提供了
T3.
思路:
字符串很长,看到最后面有一个等号=
末尾有一个=或者两个==的一般会想到base64
推荐网站:Base64在线编码解码
进行多次加解码可得答案
T4.
思路:
明明白白MD5
附赠推荐网站一枚:md5在线解密
T5.
思路:
点击通关地址可以得到
只能给外国人访问??
那我知道了,我把你报文里面的语言改为英语不就可以访问了
操作:使用火狐->右上角打开菜单->选项->左下角高级->设置->手动设置代理->确定
打开软件burp->点击菜单上的Proxy->点击Intercept is off进行抓包,
T6.
思路:
和T5有异曲同工之妙,将报文中的浏览器改为HAHA后转发即可获得key
T7.
加强版啊,点击通关地址看看加强了哪里
思路:
有提示
使用burp抓包看看
抓了包点击鼠标右键sent to repeater,点击菜单的repeater->go可以看到报文细节,key就藏在里面
T8.
思路:
点击通关地址后得到一个链接
点击链接说key is not here!
抓包吧,比较容易看到隐藏信息
当然抓的是访问上面那个链接的报文
抓了包点击鼠标右键sent to repeater,点击菜单的repeater->go可以看到报文细节得到
http://lab1.xseclab.com/base8_0abd63aa54bef0464289d6a42465f354/index.php改为
http://lab1.xseclab.com/base8_0abd63aa54bef0464289d6a42465f354/key_is_here_now_.php进行访问可得到key
T9.
思路:
题目说了冒充登录用户
抓了包点击鼠标右键sent to repeater,点击菜单的repeater->go可以看到报文细节得到
T10.
思路:
抓了包点击鼠标右键sent to repeater,点击菜单的repeater->go可以看到报文细节得到
这里我们可以看到输入内容长度被限制最长为3
使用f12打开源代码,修改最大长度,大一点,然后输入一个在这个范围内的值进行提交
提交以后就可以得到key
T11.
思路:
抓包的时候没看到啥,去看了大佬的解答说想要本地访问,先抓包,修改访问者的ip为127.0.0.1即可,就是在报文中添加一句X-Forwarded-For:127.0.0.1
但是这题不需要这样子解,因为直接使用F12查看源代码可以看到key就在里面
T12.
思路:
打开通关地址
要说思路我是没啥思路,我目前就小学鸡,所以去看了大佬的,看了几份,都是说查看robots.txt
我就去查了一下这个东西,第一次接触
Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”
(Robots Exclusion Protocol),
网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/index.php
改为
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/robots.txt
进行访问可以知道一些信息:
根据以上信息访问,Disallow的内容:
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/
得到:
那就进入登录界面:
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/login.php