本人纯小白，去CGCTF虐自己，啥工具也不会，甚至连别人的write up都看不懂，一题百度一万次，磕磕碰碰终于做出了几道题，再回过来看看，发现自己好多题又不会做了。所以还是自己写write up，一来增强记忆，二来回顾一下收获成就感，三来给别的小白很简明的解题思路，最起码不至于看不懂。 以下都是做过之后回过头来的反思（画外音：也就是刚开始都不会做的题）

本人用的是360浏览器。 

第一题：签到题

打开网页链接，右键查看源代码（或者直接Ctrl+U）

得到下图 

发现代码中有nctf{flag_admiaanaaaaaaaaaaa}，get it！ 

第二题：md5 collision

点开题目发现有这么一段代码： 

此处搬砖：https://www.cnblogs.com/Mrsm1th/p/6745532.html

大致的意思就是需要你提供一个a的值，让a不等于 ’QNKCDZO’ 并且a的md5编码和 ’QNKCDZO’ 必须一样

而根据下表整理的

QNKCDZO0

e830400451993494058024219903391 

s878926199a

0e545993274517709034328855841020  

s155964671a

0e342768416822451524974117254469  

s214587387a

0e848240448830537924465865611904  

s214587387a

0e848240448830537924465865611904  

s878926199a

0e545993274517709034328855841020  

s1091221200a

0e940624217856561557816327384675  

s1885207154a

0e509367213418206700842008763514 

随便选一个作为a的值就可以了。而题目的网址显然是php脚本，根据php语言，在网址后面添加 ?a=*** 就是输入a的值 

我这里写的是

直接得到flag，get it！  

第三题：签到题2

打开题目链接，查看源代码 

此处需要对html语言有一定了解，我们看到在input的属性设置里有对maxlength即最长输入长度的限制，而根据他让我们输入的zhimakaimen字符串长度为11，所以如果单纯输入zhimakaimen然后提交，实质上你只输入了zhimakaime，n被忽略了，所以解决方法是修改参数。 

按F12打开控制台，找到maxlength，双击，修改为11（或者你也可以设置成更长的），然后再在方框内输入zhimakaimen，submit  

Get it！ 

第四题：这题不是WEB

打开题目链接，发现是这么个玩意儿 

尝试查看源代码 

发现了2.gif 这个文件，好奇心告诉我这玩意儿肯定不对，因为别的地方没有提示了。

好，回到原网页，右击图片另存到桌面，然后打开他，发现还是一张动图……

好像剧情不对，盯着这个2.gif看了半天，怎么让他告诉我flag是啥呢？

我灵机一动，把它拖到了notepad++里，然后就出来这样子的东西 

这满屏的乱码我也看不懂啊，然后我就往下翻翻到最底下，刚要关掉，发现最后好像有串不是乱码…… 

Get it！ 

第五题：层层递进

看这题目的名字就感觉满满的提示，二话不说打开题目链接，发现一个类似于搜索引擎的界面，常规操作查看源码，搜查一番后没有发现什么特殊的信息，除了 

最后的两个链接，判断一下第二个链接应该是这个盗版网页的正版，点开来看一下也是，那么猫腻应该在第一个链接里。

点开来，发现和之前的网页差不多，此时想到题目名为“层层递进”，那么道理应该是一样的，不出所料最后出现了一个404.htm，而且打开发现 

这么长一段文字，那么这应该是我们的最终目标，再查看源码 

看到整整齐齐的格式设置，然后竖着看，找到了flag，get it！

但是呢，还有一个更简单的方法，利用抓包工具Burp Suite对题目链接爬虫。

我自己是学了两个抓包工具，一个是Burp Suite，一个是fiddler，都有各自的优势。前者有爬虫功能，适用于这题。

对于ctf的工具，可以百度ctftools，你会有惊喜！

关于Burp Suite的专业破解版，搬砖于此处https://blog.csdn.net/qq_37706414/article/details/78702411

需要注意的是下载的是.jar文件，必须配套Java的环境，这个网上直接下载，开源的。

打开Burp Suite.jar然后一路默认点下去，先配置环境 

如图，这是代理服务器设置，我们点下面的Import/export CA certificate    

出现了这么个框，然后点选第一个，Next

如图，名字随便取，但是后缀名要写成.crt，这是证书格式

然后回到桌面，会看到这个文件，打开360浏览器，选项——高级设置——HTTPS/SSL——管理证书——受信任的根证书颁发机构——导入——选择你刚才导出的证书——一路默认到如下图，导入成功后可以看到该目录下多了一个名为“PortSwigger CA”的证书，然后就可以用Burp Suite抓包了。

下一步，依然是选项——高级设置——网络——代理服务器设置——在代理服务器列表中加入“127.0.0.1:8080”，这是burpsuite默认的代理服务器，端口为8080

回到burp suite，proxy——options，在刚才导入证书的地方的下面，有这么一个选择框，把前面的都点上，否则你可以试一下，每次你尝试打开网页，burp suite都会拦截申请，然后等你手动Forward释放掉（如果你前面的intercept is on的话），当然你也可以不点，把intercept关掉就没有麻烦。

最后，设置360代理服务器，在右上角有个三杠的标记，点开菜单，找到代理服务器选项，然后勾选127.0.0.1：8080

到这里基本上burp suite就已经设置好了，我们回到题目，打开题目链接，然后到burp suite中查看Target目录下的Sitemap，发现了我们的题目网址，左栏为服务器名，右栏为服务器反应的网站

下一步，右键右栏的网址，选择Spider from here，默认两个yes，然后我们看到左上角的变化

表示spider正在运行，也就是爬虫

下一步，我们展开服务器目录

越往上是越内层的链接，我们直接看404.htm，右击Send to repeater，repeater就是中继器，也称为转发器，用来完成发送请求和接受响应

同样可以看到上方菜单的反应，然后我们点进repeater查看

当你没有发送请求的时候是这样的

当你点“GO”之后，就能看到右边的Response的变化

到这儿就很显然了。

第六题：AAencode

毫无头绪，去找别人的write up，知道了怎么做

复制网页的文本，然后按F12打开控制台，在console里粘贴文本，然后回车 

弹窗里就有flag，get it！

（虽然不明所以，而且没有同类型的题目作参考，但是可以参考学习一下Unicode，附一个链接https://www.jianshu.com/p/201aa3458a97）  

第七题：单身二十年

把能点的链接都点一遍，能看的源码都看一遍，没有有效的信息，然后考虑抓包

这题我倾向于用fiddler，因为fiddler的界面我觉得非常友好，很简单，学起来也很简单，需要注意的是fiddler内置了协议，所以不用专门去设置，官网上下了安装包，一路默认就行。

打开360浏览器，然后设置代理服务器为IE代理（如果不设置的话是抓不到包的，貌似fiddler用的就是IE代理端口）

然后打开fiddler，重新打开题目链接，可以看到fiddler的变化

左栏是网站，右栏是操作，我大致介绍一下右栏

Inspectors是常用的，就是监管者，显示这个网页的一些信息，上半部分是请求端，下半部分是响应端

我们查看raw参数，并没有发现什么

然后回到题目链接，点唯一的一个链接

我们再回到fiddler，发现多了两个包

我们看search_key.php，然后随便看看参数，当我们点到Response——Raw的时候，看到如下

注意到那行淡黄色的提示，表示响应端被加密了，点击提示，自动解码，一眼就看到了flag

Get it！

第八题：php decode

题目给出了一段代码

先读一下，大致确定就是一个解码的函数，如果要输出结果，应该是echo，而不是eval

改一下，然后放到菜鸟工具之在线php编辑器里运行一下，结果就出来了

Get it！

第九题：文件包含

此处搬砖：https://www.jianshu.com/p/d0de87ac4ae7

然后操作就是在题目链接后面加上?file=php://filter/read=convert.base64-encode/resource=index.php

如图

然后出来一长串的字符，按照base64解密，此时可以利用fiddler自带的解码器

如图，Text Wizard就是fiddler自带的解码器，点开，然后刚才复制的字符串自动粘贴

一眼就看到了flag，get it！

第十题：单身一百年也没用

这题有两种方法，首先看到题目，想到前面有道题名字差不多，那么考察的东西也应该差不多

第一种，fiddler。获取到名为“······/web9/index.php”的包后，我们看一下原始参数，并没有发现什么有用的信息，那么尝试一下向服务器发出请求。此时，我们需要用到composer板块

属性改为POST，表示发出请求，地址改成抓取到的包的地址，下面申请主体随便写，因为这只是尝试，然后点右上角的execute

看到右方历史纪录里出现了一条新的记录，并且在左端网站栏看到如下

新的数据包，很相似

我们点开新的“······web9/index.php”，再查看参数，会发现在响应端Raw参数里出现了flag，get it！

第二种方法呢，是BurpSuite。抓到包后，我们右键同样的网址，选择Send to Repeater

然后Go以下，发现响应端直接就出来了

相较而言，这题用Burp Suite更为方便。

第十一题：Download~!

题目炸了

第十二题：COOKIE

这题在cookie上动了手脚，在抓包之后，还是送到repeater，注意到

这里Login参数被设为了0，一般来说就是False的意思，那么我们改一下，改成1，然后Go

如果用fiddler也是可以做到的，拦截后右击网站——Replay——Reissue and Edit，然后看到界面变成这个样子了

然后双击Cookie，出来一个小弹窗

修改Login的值为1，然后点Save，再点下面绿色的Run to Completion

类似的，查看Raw参数，自动解码，出现了flag

Get it！

第十三题：MYSQL

点开题目链接后发现两行文字

第二行链接点过去发现是真的百度百科，那么问题应该在第一行，提示了名为“robots.txt”的文件，猜测服务器中有这么个文件，访问一下（这个居然是我自己看出来的0.0），果然有这个文件

读一下这段php代码，注意到TIP提示这段代码应该是名为“sql.php”的脚本代码，功能应该是让你输入一个id，在intval函数处理后值为1024，查表，发现intval函数是取整函数，前提条件是变量应为小数，也就是说id=1024.xxx都可以

Get it！

第十四题：GBK Injection

不会，也看不懂，sqlmap对这题无效，等我学会了再回来写

第十五题：/x00

题目链接给出了一段代码

读下来的意思是让你输入一个nctf，满足条件是必须是数字，而且nctf里必须有字符串“#biubiubiu”，有没有感到很奇怪？

此时要知道ereg函数存在截断漏洞，可以利用正则表达式“%00”隐去想要隐去的内容

具体操作为在链接后加上“······?nctf=123%00%23biubiubiu”，其中%23是“#”的url编码

还有一种方法是数组绕过，“······?nctf[]=#biubiubiu”，虽然我也不知道为啥可以，而且我一开始也是这么做的，然后莫名其妙过了。。。

第十六题：bypass again

一看题目给的代码

这不还是php弱类型嘛，就加上“······?a=s878926199a&b=QNKCDZO”就过了（童叟无欺，自己做出来的）

然后还有一个方法是数组绕过，“······?a[]=1&b[]=2”只要两个数字不一样就行，虽然我还是不知道为什么，而且我并没有想到能这么做，这是某大佬给出的解法

我回来啦！并且知道了为什么可以数组绕过：md5()函数无法处理数组，如果传入的为数组，会返回NULL，所以两个数组经过加密后得到的都是NULL,也就是相等的。

第十七题：变量覆盖

点开题目链接，先乱点一通大致搜索一下，发现有一个名为“source.php”的文件，打开看到有这么一段php代码

读一下，意思应该是以POST模式获取数据，只要传过去两个变量pass和thepassword_123的值就行

用fiddler做如下

注意第三行代码

此处搬砖：https://www.cnblogs.com/xiaoxi-3-/p/7612254.html

还有一种方法是用火狐浏览器自带的hactbar插件，但是因为我用的是360，没有相似的插件，我就不演示了