web12
题目提示指出网站公开信息即为管理员常用密码,需在网页中寻找数字字母组合或纯数字/字母。
在网页底部发现一串数字 372619038,推测为密码。
使用 dirsearch 进行目录扫描,发现 /admin 路径。
访问登录窗口,账号尝试 admin,密码使用上述数字,登录成功获取 flag。
ctfshow{e63b3786-527a-4d1c-af2b-d1906e80105e}
目录扫描中还有一个状态码为 200 的 /robots.txt,访问返回 /admin,与上述逻辑闭环。
知识点:状态码
核心状态码说明:
- 200:成功
- 301:永久跳转
- 302:临时跳转
- 403:禁止访问
- 404:资源不存在
- 405:请求方法不存在
- 500:服务器内部错误
- 502/503/504:服务或网关异常
常见状态码:
- 401:未认证
- 204:成功但无内容
- 304:缓存未修改
- 413:上传内容太大
- 415:类型不支持
- 429:请求太多
思路总结
做题通常先使用信息收集三件套:目录扫描(dirsearch)、抓包/放包/看包、查看源代码。大部分题目能通过这些找到有用信息,同时需留意题目提示和网页中的相关线索。
web13
进入页面后,在底部找到 document 文件,点击进入系统使用手册。
