web1

 

 直接打开F12就找到了

 

 

 

 

web2

 

 提示无法查看，点击F12，确实无法查看

两种方法：

1.打开浏览器设置，关闭js，根据浏览器操作

2.先打开一个随便网站，打开F12，再复制网址过去

 

 

 

 

 

web3

 

 

提示抓包

可以burp抓包，也可以直接控制台看network

 

 

 

 

 

 

web4

 

 按提示看robots.txt，得到flag路径

 

 

 

web5

按照提示输入index.phps

 

 

 

 下载查看

 

 

 

 

 

web6

 

 按提示访问

解压下载的zip，得到flag路径

 

 

 

 

 

web7

 

 

提示版本控制，考虑.git泄露

 

 

 

 

 

 

web8

 

 

这里真不知道，看提示是考svn泄露，网上有相关工具，可以自己查

 

 

 

 

 

 

 

web9

 

 vim意外退出，可见文章

 

 

 

 

 

 

web10

 

 按题目，看cookie

 

 

 

 

 

web11

 

 

使用阿里云的网站分析，找到flag

 

 

 

 

 

web12

 

 用前面的知识，查看robots，发现禁止搜索引擎爬取/admin/

 

 访问发现需要账号密码

 

 根据题目，猜测电话号码为密码，尝试admin和密码登入

 

 

 

 

 

 

 

web13

 

 网页最下面，document可以点击

 

 尝试访问

 

 

、

 

 

web14

 

 根据题目访问editor

 

 选择插入文件，点击文件空间

 

 找到flag

 

 尝试访问

 

 

 

 

 

 

web15

 

 目录扫描发现admin登入

 

 选择忘记密码

 

 网站主页下方可以找到邮箱，qq搜索

 

 

 

 登入获得flag

 

 

 

 

 

 

web16

 

 

这里用的是雅黑php探针，访问tz.php

查看phpinfo

 

 点击 查询flag

 

 

 

 

 

 

 

web17

求ctfer.com的真实IP，直接ping www.ctfshow.com 获得flag

不是很懂

 

 

 

 

 

 

 

web18

 

 

查看js代码，发现100分后弹出

 

 unicode解码

 

 

 

 

 

 

web19

 

 按前端代码post过去

 

 

 

 

web20

mdb文件是早期asp+access构架的数据库文件 直接查看url路径添加/db/db.mdb

 

下载文件通过txt打开或者通过EasyAccess.exe打开搜索flag