WriteUp1

level 1

./robot/index.html
打开网址显示

我最讨厌spider!!!

spider爬虫

很多网站中都会设置robots.txt文件,用来规范、约束或者是禁止爬虫对于网站中数据的采集等操作。robots.txt文件用于禁止网络爬虫访问网站指定目录

./robot/robots.txt打开显示

sir,this way!!!
f1a9.zip
tip: winrar Yes!!!

访问./robot/f1a9.zip下载zip文件

zip文件加密了,tip:winrar Yes!!!提示用WinRAR打开

打开后看到注释显示密码:??????338

一个6位数加上338共九位

暴力破解


flag{th1s_1s_crc_crack}

密码:860834338

解压后是一张图片,左上角有网易云logo,长和宽是:798px X 733px

联想到音乐封面图应该是正方形,用010修改为798x798

level 2

./xss/index.php打开是关于xss的,
相关->标签闭合绕过

搜索框输入aaaaa,Dom结构如下

1
2
3
4
<form action="index.php" method="GET">
<input name="keyword" value="aaaaaa">
<input type="submit" name="submit" value="搜索">
</form>

前面是 value="后面是">

输入"><p>test</p>闭合input标签插入段落,显示如下

1
2
3
4
5
6
<form action="index.php" method="GET">
<input name="keyword" value="">
<p>test</p>
">
<input type="submit" name="submit" value="搜索">
</form>

p标签被解析

提示要弹框算成功,输入"><script>alert("q")</script>