level 1

./robot/index.html
打开网址显示

我最讨厌spider!!!

spider爬虫

很多网站中都会设置robots.txt文件，用来规范、约束或者是禁止爬虫对于网站中数据的采集等操作。robots.txt文件用于禁止网络爬虫访问网站指定目录

./robot/robots.txt打开显示

sir,this way!!!
f1a9.zip
tip: winrar Yes!!!

访问./robot/f1a9.zip下载zip文件

zip文件加密了,tip:winrar Yes!!!提示用WinRAR打开

打开后看到注释显示密码：？？？？？？338

一个6位数加上338共九位

暴力破解

flag{th1s_1s_crc_crack}

密码：860834338

解压后是一张图片,左上角有网易云logo，长和宽是：798px X 733px

联想到音乐封面图应该是正方形，用010修改为798x798

level 2

./xss/index.php打开是关于xss的,
相关->标签闭合绕过

搜索框输入aaaaa，Dom结构如下

<form action="index.php" method="GET">
    <input name="keyword" value="aaaaaa">
    <input type="submit" name="submit" value="搜索">
</form>

前面是 value="后面是">

输入"><p>test</p>闭合input标签插入段落，显示如下

<form action="index.php" method="GET">
    <input name="keyword" value="">
    <p>test</p>
    ">
    <input type="submit" name="submit" value="搜索">
</form>

p标签被解析

提示要弹框算成功,输入"><script>alert("q")</script>