admin--jarvisoj平台web题
最近在练习ctf中的web题,一般来说,按我的做题习惯,拿到一个web题以后,先右键查看源代码,简单的审计一下,关注一下可疑的地方,然后用御剑扫一波,之后的话,就要就题论题了,我觉得在以后的几篇文章中很有必要将web的一些出题解题的思路来分门别类的整理一下。
拿到web题以后,先用御剑扫一波:
扫出robots.txt,打开后发现一个假的flag,
出来假的flag也没啥办法,抓包试试,抓包后发现
admin=0 结合题目的提示,admin,怀疑admin为此题的突破口。admin=0 确实挺奇怪的,我们把admin=0改成admin=1试试,GO一下,出现flag