打开后是一个外挂网站(如果报错就刷新一下)
先用dirsearch扫一下目录,发现很多东西,一个个打开
发现/admin/login.php可以跳转到后台登录平台
看到有一个“下载辅助”的地方,点击后可以下载到东西
解压后是一个exe程序,打开
发现要输qq号和密码(随便输点什么,我这里输的123——123,千万别输个人信息!!)
提交后……
不着急,打开wireshark抓包,再发送一次,发现抓到的包里有user,password的信息
追踪tcp流,并用base64解码
把结果扔到一开始找到的登录页面,发现并不正确
尝试在“邮件”里登录,并登录成功
翻找后发现,自己刚刚发的信息已经被邮件记录(社工软件的本质)
在往下翻,看到一个名字和生日,盲猜是后台账号和密码
扔到后台登录,并成功
从后台找到flag