[2021铁人赛 Day30] 尾声 / Web Exploitation Web渗透题目 03

引言
今天是我第二次参赛的赛末点，
我认为自己写的内容都不深，参加铁人赛算是自己入门 CTF 的纪录吧！
其实这 30 天的题目都是入门再入门的，几乎每个主题的第三题以後，
就真的需要有比较完整一点的该领域知识了。

所以我认为 CTF ，或是说资安整个领域，算是资讯领域中某一大部分的大杂烩，
真的可以说资安高手们都是资讯领域强者，这是不会错的～

其实资安这东西就是故意在「不守规矩」，
在每个领域中「例外的东西」都是不好学习的，大家都喜欢公式与规律嘛。
但资安领域就是要你钻漏洞找例外，所以并没有所谓标准解答，
教学其实也很难用一般方法来教，很多地方都需要靠自己摸索与灵光一闪，
当然也需要基础知识技术的积累。

第 30 天，就不继续较难的东西了，
我们来解 Web Exploitation 的题目好了，顺便了解网页这东西。

Web Exploitation / Insp3ct0r

题目给了一个网页，并要求你「检查」一下。

先进去这网页看看：

非常简单的网页画面，也没什麽有用的功能。

那为什麽我刚刚「检查」要括起来呢？因为这「检查」就是提示了！
你使用浏览器 (Chrome 为例) 浏览任何网页时，都可以在网页空白处按右键，
选单最下面有个「检查」的选项按下去 (或是按 F12 ，是快捷键) ：

就会跑出一个功能很多的网页分析器，我等等会简称它 F12 。
在你开启 F12 後，建议先按 F5 重新整理一下，资讯才会是最新的。

F12 可以查看甚至修改各种在你浏览器这端的网页资料，包含之前讲过的 Cookie ，
或是你送出网址给浏览器後，浏览器载入了哪些档案在页面上都看得出来。

在这个网页上的 How 标签页，其实提示了这个网页是使用 HTML, JS, CSS 写的，
只要是不跟远端服务器连线的「静态网页」基本上都是这三个东西组成一个网页的。

所以我们在 F12 的 Sources 标签，找到左边正好是这三种档案，HTML 就是那个 index 。
我们先选择 HTML 档来看看：

果然是原始码，我们滑到最底下看看：

果然是 flag ，但是只有 1/3 ，可以猜到其他的应该在 JS, CSS 中：

虽然 JS 排在第2个，但 flag 是第三部份，注意一下。

最後是 CSS 中的 flag 第二部份，我们它组合起来就得到 flag 啦。

稍微提一下， HTML 是用来组合各种网页元件的，也就是整个网页看到的大部分元素；
而 JavaScript 则是写程序逻辑的，诸如按钮按下後会怎麽样，或是弹出对话框之类的；
最後 CSS 就是美化 HTML 用的，改字体、改特效、改颜色、改版面配置等等。

尾声
30 天总算完成所有文章，感谢持续观看的板友们～