攻防世界web新手题第一次归纳总结
view_source
这里用到一个查看网页源代码的方式,F12查看器
查看网页源代码方式:1.F12,打开查看器 2.鼠标右键查看
robots
题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
根据题目描述应该和robots协议有关,直接打开robots.txt
发现:
User-agent: *
Disallow:
Disallow: f1ag_1s_h3re.php
所以根据提示打开f1ag_1s_h3re.php,就发现了flag
cyberpeace{29c87c14fa758db1e42c4f9666ccc747}
附:
robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
backup
题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!
打开网页,发现提问:你知道index.php的备份文件名吗?
常见的备份文件后缀名有 .git .svn .swp .~ .bak .bash_history
小白直接逐个试,听说有点技巧的是通过扫目录得到是.bat后缀
通过网页打开index.php.bat ,下载该备份文件,用记事本打开,发现flag
Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}
cookie
题目描述:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?’
打开网页,发现:你知道什么是cookie吗?
直接后台打开存储看一下,发现了cookie.php
打开cookie.php,提示:See the http response,打开消息头就发现了flag
注意查看http响应包,在网络一栏找到php的数据包,消息头找到flag。
附: Cookie是当主机访问Web服务器时,由 Web 服务器创建的,将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据,而这些数据通常会经过加密处理。
disabled_button
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?
打开网页,F12查看一下,发现按钮上有个 disabled属性,删除之后就可以按按钮了。flag即出。
disabled 属性规定应该禁用的 元素。
被禁用的 input 元素是无法使用和无法点击的。
weak_auth
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。
打开是一个登陆页面,随便试了一下,发现要求以admin登录。
查看一下php的网页源代码,提示用字典,那应该是用爆破。
然后使用burpsuite拦截数据包,把数据包发送到intruder爆破
设置爆破点为密码
加载字典,选了个常用密码试试看
发现密码为123456的长度不一样,查看一下响应包,就能发现flag了
附:纪念一下第一次使用burpsuite写题目,不得不说火狐的扩展程序好用:SwitchyOmega,学习期间也参考了很多配置问题的博客,还是代理配置比较好用,再附一个大佬的字典网页:https://github.com/rootphantomer/Blasting_dictionary/blob/master/常用密码.txt
第一次总结完毕,萌新的学习之旅才刚刚开始!