第二届 360 杯全国大学生信息安全技术大赛几道小题解析

几道送分题:

第 2 题

网络与协议(10 分)

题目

直接用电脑的浏览器是无法获得通关密码的。这里我修改了 HTTP 请求时,发送的 User-Agent

打开 WebScarab,刷新页面。弹窗:

WebScarab

从网上找到 iPhone 6 的 User-Agent

Mozilla/5.0 (iPhone; CPU iPhone6 OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A403 Safari/8536.25

修改之后,返回数据:

flag

网页情况:

flag

这样就得到了通关密码:a2780099bd02b427fb9f263dc7d297ee

然后页面显示过关了:

过关

另一种方法

WebScarab 干这个事略显麻烦。以 Firefox 浏览器为例,我找到了一款浏览器插件:User Agent Switcher

// 我去,什么时候 Firefox 的扩展程序也需要番羽土啬了!!!

User Agent Switcher

配置好后,刷新网页。

User Agent Switcher

通关密码出现。

通关密码

当然,其他网站也是手机页面了:

手机页面

第 4 题

WEB 安全(10 分)

题目

我首先想到,拦截 HTTP 请求,把 POST 的邮箱改为我的邮箱:

修改请求包中的邮箱

等了半天没收到邮件。。。。又试了一次。

然后突然 response 回来一个:

响应包返回验证码

可能刚才没注意到。我试试粘贴进去提交:

flag

看来可以。dd5f7c8e9cdd4196bbf78a69df504938 是密码。

我重复试了一次,不需要修改邮箱。。。自动可以 response 回来 code


Comments

您可以匿名发表评论,无需登录 Disqus 账号,勾选“我更想匿名评论”后,姓名和电子邮件分别填写“匿名”和“someone@example.com”然后发表评论即可。您也可以登录 Disqus 账号后发表评论。您的评论可能需要经过我审核后才能显示。点赞投票按钮(Reactions)无需登录即可点击。Disqus 评论系统在中国大陆可能无法正常加载和使用。

License

Creative Commons License

本作品采用知识共享 署名-非商业性使用-禁止演绎 4.0 国际许可协议CC BY-NC-ND 4.0)进行许可。

This work is licensed under the Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License (CC BY-NC-ND 4.0).

Top