picoCTF2017 Web 100 TW_GR_E1_ART

CMU的CTF game,国外的思路和国内完全不一样的感觉,这一道题是level2的一道题目,并且后面每个level都有以此题为蓝本的进阶题,第一次遇见这种题目,同层次的level2的sql题目是用万能密码就能getflag的题目,于是想当然的觉得这道题就是被秒的题目,结果被教做人了,过了挺久才做出来,而且感觉做法很蠢,也是因为对JS和node的极度不熟悉,而后面进阶的题目就不考虑了。在这里把做整个题目的过程复现一下,主要反思整个思考的过程以及如何入手一道完全不懂领域的CTF题目并在解出题目的过程中达到学习的目的。
Read More

XSS闯关小游戏

一个20关的XSS小游戏,巩固基础。下载链接:http://www.au1ge.xyz/downloads/xss源码小游戏.zip
XSS游戏与SQL注入的练习最大的不同就是SQL的练习基本与实战相同,最后的目的都是从数据库中得到数据,但是XSS游戏一般只需要弹个框,这导致了就算XSS游戏完成的很好在实战中也经常会懵比,javascript作为一门热门语言,其变化会比sql多得多,因此,最根本的还是javascript,javascript,javascript!!!
Read More