CTF

All about Capture The Flag contest

CTF

hShCTF 2016 Writeup

Web50 打不过 打开页面,发现只有一个get提交框用来提交密码,并且提交按钮是被禁用的。 前端禁用没有任何影响,直接提交get请求。 但是提交的密码没有给出提示,这时通过查看HTTP头部可以发现多出了一个字段 Str OGM0MzU1NTc3MTdhMTQ4NTc4ZmQ4MjJhYWVmOTYwNzk= 明显的Base64编码,解码后发现是一个32字符的字符串,尝试拿去解md5。 得到密码1931b,提交可得flag。 flag is:flag_Xd{hSh_ctf:XD_aA@lvmM} Web300 疯狂的js 打开链接,取消promot查看源代码。 发现源码里只有script.js,下载开始分析。 找到入口函数 cal_start(),发现脚本要求输入5次字符串而后传给 filter() 函数进行处理,判断返回值是否是 FLAG,是则发起对服务器的调用。因此可以知道核心是 filter() 函数。