陇剑杯 2021 简单日志分析（问1）

题目描述：

某应用程序被攻击，请分析日志后作答：
黑客攻击的参数是______。（如有字母请全部使用小写）。得到的flag请使用NSSCTF{}格式提交。

既然问的是参数，而且日志中基本都是GET请求，那么我们直接搜索 = 看看

得到user参数。

陇剑杯 2021 简单日志分析（问2）

题目描述：

某应用程序被攻击，请分析日志后作答：
黑客查看的秘密文件的绝对路径是_____________。得到的flag请使用NSSCTF{...

陇剑杯 2021 日志分析（问1）

题目描述：

单位某应用程序被攻击，请分析日志，进行作答：
网络存在源码泄漏，源码文件名是_____________。(请提交带有文件后缀的文件名，例如x.txt)。得到的flag请使用NSSCTF{}格式提交。

打开日志文件，不知道用哪个软件比较好分析，还请各位大佬指点。
我直接用vscode打开看看

发现主要信息集中于请求路径和状态码。
大部分都是404，直接全局搜索200看看

大概下半段就可以看到请求www.zip时为200.
下班！

陇剑杯 ...

陇剑杯 2021 webshell（问1）

题目描述：

单位网站被黑客挂马，请您从流量中分析出webshell，进行回答：
黑客登录系统使用的密码是_____________。。得到的flag请使用NSSCTF{}格式提交。

题目描述说是登录系统，根据日常经验，一般登录操作使用的都是POST请求，于是我们直接在流量包中搜索POST请求看看。

http.request.method==POST

然后追踪流看看，运气比较好第一个就是。

交差下班。

陇剑杯 2021webshell...

暑假事情有点多，没啥时间写，只写完了web题，写篇wp水水博客。

彩蛋

1azy_fish加了彩蛋，找一找？不用爆破（把服务器日坏了就不好玩了

敏感路径

这题刚开始看以为是F12题，一直没找到，后来翻插件发现有敏感目录 /goat。

推荐一下这个插件：findsomething（尊嘟很好用）

F12查看网页源码

直接拼接就是一个F12题了，F12查看源码得到flag

Ez_http

VidocQwQ说http好简单，我们一起学习吧。

XFF头ip绕过

使用hackbar进行操作添加XFF头。

今天早上更新了搜索栏和留言板。初步更新基本完成，后面就要开始更新我的水文啦。

欢迎大家留言，指导指导小菜鸡哈（orz）。

今天事情比较多，今日战绩：图床搭建完成。

下班！

Welcome to my blog.

搭建了一天，终于上线了。

暑假开始的时候有一个Plan，完成了个P,因为lan。

后面会随缘更新，更新内容也不确定。凑合着看吧。

#入门

练习时长：八周（3又五分之一坤周）

web开发入门（两周）

前端语言: HTML+CSS+javascript
建议时长： 三天 （JS要求高，dom树看懂）

脚本语言 : python+网络基础和HTTP协议
建议时长：七天

后端语言:PHP+SQL+MySQL数据库
建议时长：三天（第一门后端语言建议php，因为比较简单，当然你也可以直接入手其他的语言java，go之类的）

学习方式： 菜鸟教程进行速通上面的语言学习。

学习任务：注册登录页面和登录成功展示静态百度页面

web渗透入门

一、信...