XCTFweb新手练习题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0
0x01 view_source
题目链接:http://111.198.29.45:51846/
题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
根据题目提示和标题,我们可以知道flag在网页源代码中,然而网页中我们无法使用鼠标右键点击查看源码,我们有以下两种方法
方法一
按F12,在设置中禁用JavaScript,就可以右键查看源码了
方法二
在url前面加上view-source:即可查看网页源码
view-source:http://111.198.29.45:51846/
flag:cyberpeace{ae515780d11a5ba6093ab97272733031}
0x02 get_post
题目链接:http://111.198.29.45:43568/
题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
打开网页,要求我们用GET方式提交一个值为1的变量a
我们在url后面加上?a=1
http://111.198.29.45:43568/?a=1
让我们用POST方法提交一个值为2的变量b
用burp抓包
这是抓包的结果
1.我们将头中第一行改成POST 并加上url
POST http://111.198.29.45:43568/?a=1 HTTP/1.1
2.POST头部数据格式声明
Content-Type: application/x-www-form-urlencoded
3.post变量b=2
b=2
即可得到flag
flag:cyberpeace{2ba85496b616b36d30c6ad92ff515de3}
0x03 robots
题目链接:http://111.198.29.45:49016/
题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
Robots.txt 是存放在站点根目录下的一个纯文本文件,并且该文件是可以通过互联网进行访问的。虽然它的设置很简单,但是作用却很强大。它可以指定搜索引擎蜘蛛只抓取指定的内容,或者是禁止搜索引擎蜘蛛抓取网站的部分或全部内容。
所以我们在url后面加上robots.txt即可查看里面的内容
http://111.198.29.45:49016/robots.txt
可以看到有个f1ag_1s_h3re.php,打开即可看到flag
http://111.198.29.45:49016/f1ag_1s_h3re.php