引言
今天是我第二次参赛的赛末点,
我认为自己写的内容都不深,参加铁人赛算是自己入门 CTF 的纪录吧!
其实这 30 天的题目都是入门再入门的,几乎每个主题的第三题以後,
就真的需要有比较完整一点的该领域知识了。
所以我认为 CTF ,或是说资安整个领域,算是资讯领域中某一大部分的大杂烩,
真的可以说资安高手们都是资讯领域强者,这是不会错的~
其实资安这东西就是故意在「不守规矩」,
在每个领域中「例外的东西」都是不好学习的,大家都喜欢公式与规律嘛。
但资安领域就是要你钻漏洞找例外,所以并没有所谓标准解答,
教学其实也很难用一般方法来教,很多地方都需要靠自己摸索与灵光一闪,
当然也需要基础知识技术的积累。
第 30 天,就不继续较难的东西了,
我们来解 Web Exploitation 的题目好了,顺便了解网页这东西。
Web Exploitation / Insp3ct0r
题目给了一个网页,并要求你「检查」一下。
先进去这网页看看:
非常简单的网页画面,也没什麽有用的功能。
那为什麽我刚刚「检查」要括起来呢?因为这「检查」就是提示了!
你使用浏览器 (Chrome 为例) 浏览任何网页时,都可以在网页空白处按右键,
选单最下面有个「检查」的选项按下去 (或是按 F12 ,是快捷键) :
就会跑出一个功能很多的网页分析器,我等等会简称它 F12 。
在你开启 F12 後,建议先按 F5 重新整理一下,资讯才会是最新的。
F12 可以查看甚至修改各种在你浏览器这端的网页资料,包含之前讲过的 Cookie ,
或是你送出网址给浏览器後,浏览器载入了哪些档案在页面上都看得出来。
在这个网页上的 How 标签页,其实提示了这个网页是使用 HTML, JS, CSS 写的,
只要是不跟远端服务器连线的「静态网页」基本上都是这三个东西组成一个网页的。
所以我们在 F12 的 Sources 标签,找到左边正好是这三种档案,HTML 就是那个 index 。
我们先选择 HTML 档来看看:
果然是原始码,我们滑到最底下看看:
果然是 flag ,但是只有 1/3 ,可以猜到其他的应该在 JS, CSS 中:
虽然 JS 排在第2个,但 flag 是第三部份,注意一下。
最後是 CSS 中的 flag 第二部份,我们它组合起来就得到 flag 啦。
稍微提一下, HTML 是用来组合各种网页元件的,也就是整个网页看到的大部分元素;
而 JavaScript 则是写程序逻辑的,诸如按钮按下後会怎麽样,或是弹出对话框之类的;
最後 CSS 就是美化 HTML 用的,改字体、改特效、改颜色、改版面配置等等。
尾声
30 天总算完成所有文章,感谢持续观看的板友们~
SavedStateHandle 不知道大家有没有发现在「ETA Screen (1)」贴出来的 E...
继上次第一次使用 print 出 Hello World, 今天要来建立简易的 API 来吧~ 使用...
今天跟大神 重新认识 Vue.js | Kuro Hsu 跨越层级的传递方式 学习祖先元件怎麽传递家...
基本上我们会用到 计数器这整个Component (div) 、显示数字 (span)、按钮(but...
今天的目标: 当要整理 Google Drive 时,会发现好多的档案、文件不确定哪个要怎麽做。一个...