XCTF 攻防世界 web 新手练习

最新推荐文章于 2024-07-10 01:24:32 发布
最新推荐文章于 2024-07-10 01:24:32 发布
阅读量7.4k 收藏 7
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a895963248/article/details/97135377
版权

XCTFweb新手练习题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0

0x01 view_source

题目链接:http://111.198.29.45:51846/
题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
根据题目提示和标题,我们可以知道flag在网页源代码中,然而网页中我们无法使用鼠标右键点击查看源码,我们有以下两种方法
方法一
按F12,在设置中禁用JavaScript,就可以右键查看源码了在这里插入图片描述
方法二
在url前面加上view-source:即可查看网页源码

view-source:http://111.198.29.45:51846/

在这里插入图片描述
flag:cyberpeace{ae515780d11a5ba6093ab97272733031}

0x02 get_post

题目链接:http://111.198.29.45:43568/
题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
在这里插入图片描述
打开网页,要求我们用GET方式提交一个值为1的变量a
我们在url后面加上?a=1

http://111.198.29.45:43568/?a=1

在这里插入图片描述
让我们用POST方法提交一个值为2的变量b
用burp抓包
在这里插入图片描述
这是抓包的结果
1.我们将头中第一行改成POST 并加上url

POST http://111.198.29.45:43568/?a=1 HTTP/1.1

2.POST头部数据格式声明

Content-Type: application/x-www-form-urlencoded

3.post变量b=2

b=2

即可得到flag
在这里插入图片描述
flag:cyberpeace{2ba85496b616b36d30c6ad92ff515de3}

0x03 robots

题目链接:http://111.198.29.45:49016/
题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
Robots.txt 是存放在站点根目录下的一个纯文本文件,并且该文件是可以通过互联网进行访问的。虽然它的设置很简单,但是作用却很强大。它可以指定搜索引擎蜘蛛只抓取指定的内容,或者是禁止搜索引擎蜘蛛抓取网站的部分或全部内容。
所以我们在url后面加上robots.txt即可查看里面的内容

http://111.198.29.45:49016/robots.txt

在这里插入图片描述
可以看到有个f1ag_1s_h3re.php,打开即可看到flag

http://111.198.29.45:49016/f1ag_1s_h3re.php

最低0.47元/天 解锁文章
XQin9T1an
关注
攻防世界web新手部分,进阶部分
舞动的獾
04-08 4760
title: 攻防世界第一题 date: 2019-04-08 19:31:23 author: 舞动之獾 top: false cover: true coverImg: https://img-blog.csdnimg.cn/20190408193755785.PNG categories: Markdown tags: web 网络安全 攻防世界新手第一题writeup 点击传送地址...
攻防世界-WEB新手练习
weixin_42271850的博客
02-05 1123
简述 这一篇算是自己的第一篇博客,写的目的主要是回顾一下一个月前学习CTF中WEB方向时的相关知识。因为那时刚刚接触网络安全也刚刚接触CTF,基本一题都不会做,老是看了一下题目就去网上搜相关的writeup了。现在做完了12道初级的题目后,打算重新做一遍,按着自己学习到的思路过一遍,也算是一种积累和沉淀吧。 一、view_source 从题目就能看到提示,是需要我们去查看源代码的,但是页面...
攻防世界weak_auth解析流程
最新发布
m0_60642470的博客
07-10 222
弱密码:弱密码是指容易被猜测或破解的密码,通常因为其简单性或预测性。使用弱密码可能导致账号被盗用、数据泄露或其他安全问题。
攻防世界---web---新手练习
gclome的博客
11-02 548
get_post
攻防世界web新手练习 攻略
weixin_46329549的博客
02-28 421
前言 web新手区题较简单,往后的分值较高的暂时做不下来。只是从中选取了几道比较有代表性的题目,不按照顺序,可以自己对照题目名称。 第一题 view_source 第一题较为简单,没什么难度,直接F12或者ctrl+u可查看源代码,获取flag。 第二题 robots 这道题主要是运用robots协议的理解,直接查看robots协议,找到flag的php访问拿到flag。(这道题用到了火狐) ...
攻防世界-Web(新手区)练习
weixin_51706044的博客
02-25 827
文章目录前言一、view_source二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 在这里记录了我对于学习攻防世界-新手区的Wbe题的总结 一、
xctf攻防世界Web新手练习区robots单题思路
邱邱邱邱自强的博客
12-22 1481
xctf攻防世界Web新手练习区robots单题思路 @邱邱邱自强 前言 随着互联网的发展,互联网界的行为也越来越被重视,那么国际互联网界通行的道德规范是什么呢?它就是Robots协议。 一、Robots协议是什么? robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件。 二、使用步骤 1.方法 方法一: 通过百度网址,进入百度搜索引擎页面(https://www.baidu.com/) 如何利用百度查看网站的Robots协议 在搜索框里面随便输
功放世界WEB新手练习
滚滚是只小狐狸
03-30 965
功放世界WEB新手练习区简介官网view_sourcerobotsbackupcookiedisabled_buttonweak_authsimple_phpget_postxff_refererSmartyPantscommand_executionsimple_js 简介 首先感谢大家来观看,此文章只是觉得这样可以更好地督促自己不断地去练习学习,同时也可以总结一下经验,以前刚接触的时候大家都...
20201228攻防世界WEB模块入门级别全详解通关记录
qq_45290991的博客
12-29 2388
在学(hun)习(ji)了DVWA靶场之后,为了进一步加深实战环境下对各个web常见漏洞的理解和绕过机制,我在同学的推荐之下开始了攻防世界web题目练习。 第一题 如题描述查看源码发现鼠标右键的菜单机制被禁止了,可以按火狐(谷歌)浏览器的查看网页源码的快捷键Ctrl+U,查看源码。 <script> document.oncontextmenu=new Function("return false") document.onselectstart=new Function("ret
CTFweb相关靶场推荐与环境配置
kingdring的博客
09-30 4911
ps:国庆假期少事情多就不更新了 今天来一波猛的 想起来没有给大家推荐过实战的平台 今天来安利一波 这篇很长 相比上一篇sqlmap的配置而言内容很多 有问题的小伙伴欢迎留言哦 在线练习平台 bugku XCTF攻防世界 比较基础的两个网站 题目有很多 并且网上有很多题目的write up 而且上面包含有其他类型的题目 大家可以都去体验一下 感受一下不同题目不同难度的魅力 本地主机搭建靶场 这部分重点说一下 总会有像我一样的一批人对网上的内容有一点芥蒂 比较喜欢在自己电脑上配置靶场的环境 让自己不受网络的
XCTF攻防世界web新手练习_ 6_xff_referer
热门推荐
silence1_的博客
04-28 1万+
XCTF攻防世界web新手练习—disabled_button 题目 题目为xff_referer,描述信息 根据描述信息,知道题目应该与xff和referer相关 进入题目,看到 于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123 发送请求 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.c...
攻防世界web新手练习区详细(小白入门)
Firebasky的博客
05-06 3879
最近自己也做了一下攻防世界web题,自己作为一个小白也分享一下自己的感受理解和自己的思路。 (大佬绕过) 话不多说进入正题: 1、view_source 直接F12查看源代码 2、 robots 首先理解robots是什么? robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中搜索引擎网站的时候要查看的第一个文件。...
XCTF web新手区wp
qq_45414878的博客
11-02 236
XCTF web新手区wp title: XCTF web新手区wp date: XCTF web新手区wp 19:49:08 categories: xctf tags: [ctf,web狗的成长] 1、view_source F12查看页面源码,发现flag。 2、robots 看题目知道robots.txt里面应该有我们想要的东西-flag(robots.txt可以禁止网络爬虫爬取特定目录)。 3、backup 熟悉常见的备份文件扩展名,逐个测试,最终备份文件为:index.php.bak
#XCTF整理#web新手练习
vircorns的博客
08-31 455
view source 查看源代码,右键不能用就F12呗 get post get可以通过url直接传进去 post利用hackbar传入(get也可用hackbar直接传) robots 访问:http://111.198.29.45:47041/robots.txt里面有f1ag_1s_h3re.php 访问:http://111.198.29.45:47041/f1ag_1s_h...
XCTFweb新手入门题目WP
c1ean's Blog
09-20 384
XCTFweb新手入门题目WP 1.view source 提示是查看源代码,无法右键,那就直接F12打开开发者工具便可得到flag 2.robots 直接访问robots.txt文件可得到flag文件名称。 然后打开f1ag_1s_h3re.php文件便可获得flag. 3.backup 提示index.php的备份名,那便尝试index.php.bak,然后打开F12得到flag。 4.cookie 提示cookie那便打开F12,找到网络那一栏,可以看到一个提示叫我们查看cookie.php文
攻防世界simple_PHP解析
chlet的博客
10-29 3699
攻防世界simple_PHP解析; 点开场景; 这里有三个条件,我们可以逐一分析; (1)如果a=0且a为真,我们可以的到flag1; (2)is_number($b)的意思是判断b是否为数字,如果为数字则返回,说明此处的b不能为数字不然就执行exit()了; (3)要求b大于1234,可以得到flag2; 综上; b要求非数字并且大于1234,涉及到php的弱类型比较; 本文直接给出b=1235a>1234,且b不为数字; 所以我们直接给url补充信息就好了; 最后得到我们的完整flag; ...
攻防世界-WEB-新手-webshell
weixin_31610083的博客
10-07 1199
【题目描述】 小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 【附件】 在线场景 【过程及思路】 打开在线场景后出现如下字样: 先看一些基础概念。 什么是webshell? webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将...
攻防世界web新手练习010 webshell
weixin_43545225的博客
09-12 592
攻防世界web新手练习010 webshell 难度系数:2 题目描述: 小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 题目场景: http://111.200.241.244:63533/ 解题思路 遇见web题目,习惯性F12看一下控制台。 嗯,毫无线索。 题目提示“ webshell ” webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础题解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值