攻防世界Web新手区Write Up

最新推荐文章于 2021-07-23 12:45:34 发布
最新推荐文章于 2021-07-23 12:45:34 发布
阅读量212 收藏
点赞数
分类专栏: CTF 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Evaristexu/article/details/105793797
版权

第一题
在这里插入图片描述
→ \to F12快捷键

在这里插入图片描述
打开后什么提示都没有,打开协议
加robots.txt
出现的提示
访问下方的Disallow
在这里插入图片描述
→ \to 如何查看网页的robots协议
备份文件
php的备份有两种: .php~ 和**.php.bak**如果网站存在备份文件,在地址栏最末加上/index.php~或/index.php.bak,即可得到备份文件
添加了/index.php.bak后自动下载文件,用文本编辑器打开发现flag
→ \to 备份文件扩展名
在这里插入图片描述
在这里插入图片描述
发现cookie.php文件
打开文件
在这里插入图片描述
在这里插入图片描述
提示查看该文件(cookie.php)的响应
在这里插入图片描述
→ \to cookie信息的查看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
将disabled改为enabled即可
点击按钮出现flag
在这里插入图片描述
→ \to 前端控件属性修改

在这里插入图片描述
随便输入一个,验证失败跳转页面,查看源代码
在这里插入图片描述
→ \to 使用BurpSuite暴力破解

在这里插入图片描述
在这里插入图片描述
该题的详细解答

→ \to php基本代码审计

Evaristexu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界Web练习Writeup
weixin_42831646的博客
11-07 3242
一些工具 burpsuite SwitchyOmega:Chrome用的代理插件 view_source flag: cyberpeace{c0bffec917b3e51ebf26546ac2c88e79} Writeup 这个题打开之后右键没有反应,直接F12 robots flag: cyberpeace{829baa53f19972442c21944e8205697f} 首先介绍一下Robots是做什么的 Robots简介 1 什么是robots协议? robots协议也叫robots.txt(统一
攻防世界web练习write up
GZWZ_的博客
04-02 780
虽然我立志成为一名优秀的web手,但真的好难,九敏!!!求一位志同道合的web小伙伴,一起讨论,一起进步哇!(大佬也没事,求带!!)
攻防世界web入门级writeup
weixin_52083155的博客
07-23 263
攻防世界web入门级writeup 1、给出的题目链接进去,F12就可以看源码,就可以看到flag. 2、 了解到什么是robots [原理] robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。 第一步访问源代码,发现什么都没有 第二步访问robots 文件,找到有关flag
攻防世界web高手writeup
a370793934的专栏
11-27 1663
Cat django报错 ctrl+u查看源码,发现input name=url ?url=%79 发现有url转换,转换成w,在输入=%80(ascii码表第%80不存在)报错 Django使用的是gbk编码,超过%F7的编码不在gbk中有意义 当CURLOPT_SAFE_UPLOAD为 true 时,如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求,来读...
攻防世界web新手练习writeup(上)
守卫者安全
11-26 465
第一题:view_source 顾名思义就是查看源码 打开链接发现确实如题目描述那样鼠标右键不能用了。所以通过快捷键Ctrl +shift + i 查看源代码。发现flag。 第二题:get_post HTTP通常使用的两种请求方式就是get和post 打开链接果然跟这个有关 既然要用GET方式,就在url后面构造参数a并赋值为1试试吧 就知道套路没这么...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
最新发布
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840757
攻防世界--web高级writeup
Vinson的博客
09-22 921
根据大佬们的writeup做出来后,自我整理下知识点及分类 目录 mfw git泄露 NaNNaNNaNNaN-Batman js代码审计 PHP2--phps web2--加密解密 分析其中的PHP内置函数 mfw git泄露 注意 page=about ,可以传数据 且用git写可能有git泄露 传flag为空,代表有文件,如果报错,是没有 git泄露 ...
攻防世界-web writeup(xctf)
菜的只能随便写写博客
07-15 2501
0x01 view source flag放在源码之中,但是网页的脚本限制了鼠标作用,无法点击和选中,直接F12或者浏览器快捷键查看网页源码即可得到flag flag:cyberpeace{e07dcafaeeb31df23b4d661dd4da56f9}   0x02 get_post GET和POST是http协议的两种主要请求方式 GET请求直接把参数包含在url中 POST...
攻防世界-- web新手练习-- writeup汇总
yisosooo的博客
09-22 2424
一篇帖子包含所有题目。 第一题-- view_source 题目提示:鼠标右键好像不管用了。鼠标右键的主要功能之一是选取网易源代码选项,所以可以F12来查看源代码。即可得到flag。 第二题-- get_post 题目提示:HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST. 第一步:请用GET方式提交一个名为a,值为1的变量,构造URL:http://111....
攻防世界writeup
weixin_44215027的博客
06-04 1436
攻防世界writeup前言web新手练习view_sourceget_postrobotsbackupcookiedisabled_buttonsimple_jsxff_refererweak_auth结语 前言 自己在做bugku时,同时去做了攻防世界,其中分的也很详细。于是想将自己的writeup记录下来。 web 新手练习 view_source 右键不能使用,那么直接在url中输入view...
南京邮电大学网络攻防平台WriteUP——WEB(中)
Fly_鹏程万里
02-27 2535
11、单身一百年也没用点击传送门“biu~”:点击超链接:说明此处存在flag,可以抓包试试看看:题目考察点:网络抓包12、Download~!题目提示:Download~!、“别下音乐,试试下载其它的东西”既然说了,音乐没有作用,不妨不管音乐,那就查看源代码吧:发现这个URL采用的是base64加密,而且可控,所以采用burp suit在访问相应的音乐链接时进行抓包试试看看:之后我们试用base...
攻防世界web新手题解题writeup
devilare的博客
09-09 2574
攻防世界web新手题 1.view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目场景: http://220.249.52.133:58537初级题,按下F12查看网页源码得到flag 2.get_post 题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 题目场景: http://220.249.52.133:35963打开场景发现提示在域名栏输入**/?a=1**得到新的提示 这里我们可以用到一个火狐插件Max Ha
攻防世界-web-unfinish-从0到1的解题历程writeup
CTF小白的博客
04-18 5547
题目分析 题目描述为:SQL 题目主要功能界面分析: 主要分为注册、登陆、以及成功登陆后的一个界面。 通过描述可以知道题目应该存在SQL注入漏洞。 扫描得知注册界面存在SQL注入漏洞 尝试构造sql盲注语句如下 {‘username’: “1’ and ELT(left((SELECT schema_name FROM information_schema.schemata limit 0,1)...
攻防世界web新手部分,进阶部分
舞动的獾
04-08 4751
title: 攻防世界第一题 date: 2019-04-08 19:31:23 author: 舞动之獾 top: false cover: true coverImg: https://img-blog.csdnimg.cn/20190408193755785.PNG categories: Markdown tags: web 网络安全 攻防世界新手第一题writeup 点击传送地址...
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8180
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
CTFweb新手攻防解题心得
"CTFweb新手详解 - 攻防世界的初学者挑战与解题心得" 在网络安全领域,CTF(Capture The Flag)是一种常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等多个方面。这篇内容主要针对的是CTF中的Web安全部分,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值