黑客榜中榜，超详细攻略！小白整理

Posted 2020-09-27

      黑客榜中榜第一期攻略

本人萌新小白一个，尽量把步骤都详细的整理出来，供新手参考。

先是第一期第一关

上图.....

这个是在未知的情况下要求通过各种方法获取到密码，然后登陆！

我使用的是火狐浏览器，使用F12快捷键，可以看到网页html源代码，分析源代码！ 很多我都看不懂.......

分析一下能看懂的：

if判断试 首先定义了一个全局变量“X”(至于“X”等于啥玩意我就不知道了，回头再研究)

下面就是判断 “X”是否等于 “go    ”如果等于弹窗提示“恭喜您，答对了，进入第二关！”

反之执行弹窗提醒“别灰心，再试一次！”

这就知道密码就是if判断式里的“go    ”

因为不知道几个空格所以复制引号里的值，当做密码粘贴即可通关！

=========================================

进入第二关

提示密码在图片里，拖动图片右键另存到本地。

之后用文本编辑器打开图片

看到一个我唯一能看懂的....过关

http://www.cn-hack.cn/qs/2sdfadf.htm

替换为：http://www.cn-hack.cn/qs/or3.htm

=====================================

进入第三关

只看到一串加密后的字符，复制拿去破解.....

找到一个xss在线小助手，随便翻译了一下发现十六进制下面的又带有%，所以把密码复制到十六进制url转换里，轻松解出来一个URL

=========================================

进入第四关

先看网页源代码，分析网页脚本。

看起来没头没尾的，啥都没怎么搞？！？

我是真的搞了好长时间没头绪，怒了！！

那就大胆是试一试，admin    123456

这次弹出了一个新网页来提示我用户名密码错误，感觉有点多此一举啊！

就在这个页面看看网页源代码

套路真的深....

====================================

进入第五关

这里提到通用密码

SQL语句里有一个or的或运算，意思就是判断2个条件是否为真（true）

如果2个条件一真一假，则返回真。

如果2个条件同为假，则返回假。

如果2个条件同为真，则返回真。

这就是或运算。

在网页上只要能打开网页就说明URL是真实存在的，可以理解为返回值为真（true），那么网页上用或运算可以在or后面输入任意判断式，例如： and 1=2，返回值为假（false），如果2个条件一真一假，则返回真。

当然这种方法只存在有这个漏洞的网页中，可以判断网页是否有注入漏洞。

提示通用密码中的两个字母

那就用 or 试一下

通关了。。。

本篇帖子献给初学者，有写的不好或者错误的地方欢迎在下方评论区留言，我会及时更正！

本文出自 “10914757” 博客，谢绝转载！