攻防世界web新手题第一次归纳总结

攻防世界web新手题第一次归纳总结

view_source

这里用到一个查看网页源代码的方式，F12查看器
查看网页源代码方式：1.F12，打开查看器 2.鼠标右键查看

robots

题目描述：X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。
根据题目描述应该和robots协议有关，直接打开robots.txt
发现：

User-agent: *
Disallow:
Disallow: f1ag_1s_h3re.php

所以根据提示打开f1ag_1s_h3re.php，就发现了flag
cyberpeace{29c87c14fa758db1e42c4f9666ccc747}
附：
robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。

backup

题目描述：X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！
打开网页，发现提问：你知道index.php的备份文件名吗？
常见的备份文件后缀名有 .git .svn .swp .~ .bak .bash_history
小白直接逐个试，听说有点技巧的是通过扫目录得到是.bat后缀
通过网页打开index.php.bat ,下载该备份文件，用记事本打开，发现flag
Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

cookie

题目描述：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？’
打开网页，发现：你知道什么是cookie吗？
直接后台打开存储看一下，发现了cookie.php
打开cookie.php,提示：See the http response，打开消息头就发现了flag
注意查看http响应包，在网络一栏找到php的数据包，消息头找到flag。
附：​ Cookie是当主机访问Web服务器时，由 Web 服务器创建的，将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies，指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据，而这些数据通常会经过加密处理。

disabled_button

题目描述：X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？
打开网页，F12查看一下，发现按钮上有个 disabled属性，删除之后就可以按按钮了。flag即出。
disabled 属性规定应该禁用的 元素。
被禁用的 input 元素是无法使用和无法点击的。

weak_auth

题目描述：小宁写了一个登陆验证页面，随手就设了一个密码。
打开是一个登陆页面，随便试了一下，发现要求以admin登录。
查看一下php的网页源代码，提示用字典，那应该是用爆破。
然后使用burpsuite拦截数据包,把数据包发送到intruder爆破
设置爆破点为密码
加载字典，选了个常用密码试试看
发现密码为123456的长度不一样，查看一下响应包，就能发现flag了

附：纪念一下第一次使用burpsuite写题目，不得不说火狐的扩展程序好用：SwitchyOmega，学习期间也参考了很多配置问题的博客，还是代理配置比较好用，再附一个大佬的字典网页：https://github.com/rootphantomer/Blasting_dictionary/blob/master/常用密码.txt

第一次总结完毕，萌新的学习之旅才刚刚开始！