Training-WWW-Robots
这题考察的是Robots协议,可以根据这个文章了解一下关于网站robots协议,看这篇就够了 - 知乎 (zhihu.com)
当robots访问一个网站(比如http://www.abc.com)时,首先会检查该网站中是否存在http://www.abc.com/robots.txt这个文件,如果机器人找到这个文件,它就会根据这个文件的内容,来确定它访问权限的范围。(也就相当于一个管理权限的文件)
robots.txt文件用法举例:
User-agent(搜索引擎robots的名字):*(*代表所有)
Disallow(以Disallow开头的url都禁止访问):/(代表禁止所有引擎访问网站任何部分)
例:
User-agent:baiduspider
Disallow:
User-agent:*
Disallow:/
代表允许baiduspider来访问网站任何,其他都不行
所以我i们就进入robots.txt文件查看一下该网站是否被隐藏一些内容
我们可以看到,禁止了所有Robots搜索引擎访问fl0g.php,允许Yandex搜索引擎访问,所以我们只需要前往fl0g.php去查看一下
就可以得到隐藏的内容,也就是flag:cyberpeace{e7410bd1fda6dcb48c1003ea6a00d132}
PHP2
打开一个网页,普通的毫无内容
检查一下也没啥东西
想起了标题是有关PHP的,查看一下网站的PHP源码,只需要在网站后面加个/index.phps
到了审查环节,我们发现,需要让id=admin才会有内容,我们尝试直接写在网站后,但是报错了,所以我们需要url编码一下admin,这里推荐使用burp suite
BurpSuite v2.1(含中文版)的保姆级安装与使用_burpsuite中文版-CSDN博客
但是又报错了。。发现PHP源码中写到会先解码一次id,所以应该是浏览器解码了url成admin了,所以网站才会报错,应该在编码一次
得到flag:cyberpeace{2b406bba507c1117c0d78ceca721522e}