Natas Wargame Level 3 Writeup 与 robots.txt

最新推荐文章于 2024-08-13 18:54:58 发布
最新推荐文章于 2024-08-13 18:54:58 发布
阅读量130 收藏
点赞数
文章标签: 爬虫
原文链接:http://www.cnblogs.com/liqiuhao/p/6844874.html
版权

从HTML的注释代码来看,“google无法搜索到这个页面” -> 说明该网站很可能设置了防爬虫机制:robots.txt

以下是robots.txt的介绍(来自维基百科):

---------------------------------------------------------------------------------

robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛), 此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件 名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下 的robots.txt,或者使用robots元数据(Metadata,又稱元資料)。

robots.txt协议并不是一个规范,而只是约定俗成的,所以并不能保证网站的隐私。注意robots.txt是用字符串比较来确定是否获取URL,所以目录末尾有与没有斜杠“/”表示的是不同的URL。robots.txt允许使用类似"Disallow: *.gif"这样的通配符[1][2]

其他的影响搜索引擎的行为的方法包括使用robots元数据

<meta name="robots" content="noindex,nofollow" />

这个协议也不是一个规范,而只是约定俗成的,有些搜索引擎会遵守这一规范,而其他则不然。通常搜索引擎会识别这个元数据,不索引这个页面,以及这个页面的链出页面。

例子:

允许所有的机器人:

User-agent: *
Disallow:

另一写法

User-agent: *
Allow:/

仅允许特定的机器人:(name_spider用真实名字代替)

User-agent: name_spider
Allow:

拦截所有的机器人:

User-agent: *
Disallow: /

禁止所有机器人访问特定目录:

User-agent: *
Disallow: /cgi-bin/
Disallow: /images/
Disallow: /tmp/
Disallow: /private/

仅禁止坏爬虫访问特定目录(BadBot用真实的名字代替):

User-agent: BadBot
Disallow: /private/

禁止所有机器人访问特定文件类型[2]

User-agent: * Disallow: /*.php$ Disallow: /*.js$ Disallow: /*.inc$ Disallow: /*.css$

另外还有一些扩展指令。

---------------------------------------------------------------------

于是访问根目录下的robots.txt文件:

得到禁止所有爬虫(spider,crawler)访问的目录s3cr3t/:

得到用户密码:

natas4:Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ

 

总结:网站防止爬虫访问的目录或者文件可能含有敏感文件,这也是一个切入点。

转载于:https://www.cnblogs.com/liqiuhao/p/6844874.html

a_18067
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mrRobot CTF Walkthrough Writeup
qq_23026851的博客
01-17 649
OVA:https://www.vulnhub.com/entry/mr-robot-1,151/   用netdiscover 发现目标机的IP:192.168.164.164。   用浏览器上去逛一逛。   同时用nikto 扫描该主机。 发现它还使用wordpress。   访问/robots.txt 得到Key_1和一个字典。  ...
OverTheWire:Natas通关思路记录和介绍(持续更新中2019.03.14)
cynthrial的博客
03-01 3814
OverTheWire:Natas通关思路记录和介绍前言什么是Natas通关思路Natas Level 0Natas Level 0 → Level 1Natas Level 1 → Level 2Natas Level 2 → Level 3Natas Level 3 → Level 4Natas Level 4 → Level 5Natas Level 5 → Level 6 前言 为什么这个...
robots.txt 简介
onlinee的博客
07-25 576
该文章为pcat写的writeup 一种我还没见过的方法 得记下来。。。 实验吧的题目地址为:http://www.shiyanbar.com/ctf/1838 以下是他的writeup: 本题进去后,是一长串随机字符串,而且刷新后就变了, 该字符串可以b64解密,会变成数字串,也可以再b32解密但没什么意义。 看出题人给的提示: 怎么好像就是在随机产生?莫非不是这个? 发现
Natas Wargame Level 2 Writeup 与目录泄露(强制访问)
a_18067的博客
05-12 392
注意到“files/pixel.png”,flag可能隐藏在此图片中。但随后发现该图片仅仅是一个一像素的图标,“没有”意义——files/目录可能是可以访问的: 拿到flag:natas3:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14 总结:HTML/CSS/JS等客户端文件可能会泄露站长不想让客户端访问的目录,即该目录下即包含可访问文件又包含敏感文件,并...
网络空间安全——Wargame靶场(Natas)
weixin_44717952的博客
05-20 1224
访问的网站才能看到密码”,在 http 的 refer 字段中表明来源,所以我们需要修改这个字段的值为上面的网址。拦截浏览器发送的请求,修改 refer 字段中的值为上述网址,然后点击 Forward,即可看到密码。爬虫在收集网页信息时,首先查看该网页的 robot.txt 文件,从中获取可以爬取的内容信息。右键->查看网页源代码,发现什么都没有,但是这时候一行字引起我们的注意,Google 都找不到这个网站。我们可以看到 /s3cr3t/ 文件夹,在浏览器中打开它,我们就可以看到密码了。
Python库 | natas-1.0.2.tar.gz
03-06
《Python库natas-1.0.2:深入探索与应用》 在IT行业中,Python是一种广泛使用的开发语言,尤其在后端开发领域,它的简洁语法和强大的库支持使其成为首选。今天我们要深入探讨的是一款名为natas的Python库,其版本为...
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
4. **编码与解码**:JavaScript内置了多种编码和解码函数,如`atob()`和`btoa()`用于Base64编码解码,Natas中常利用这些函数隐藏或混淆密码。 三、解决Natas问题的关键步骤 1. **理解HTML和HTTP**:首先,玩家需要...
natas
02-23
3. **Natas.cpp、NatasConfig.cpp**:这些可能是程序的主要实现和配置部分,包含核心逻辑和程序设置。 4. **Base64.cpp**:可能用于编码和解码Base64字符串,这在网络通信中常用于传输文本数据。 5. **PacketCapture...
natas:纳塔斯兵棋推演
06-04
纳塔斯 这是一个服务器端网络安全战争游戏,你可以在玩 我看过一些 natas 的文章,但他们都使用 python 来解决挑战。...curl --silent --user natas1:gtVrDuiDfck831PqWsLEZy5gyDz1clto http://natas1.natas.
Natas 幽灵王病毒的分析》
03-26
Natas 幽灵王病毒的分析》 很厉害的一个病毒分析案例
natas通关小游戏(未完待续)
weixin_41023022的博客
08-23 950
地址:http://overthewire.org/wargames/natas/ level 0 -&gt; level 1 You can find the password for the next level on this page.(你可以在此界面找到下一级别的代码) 于是查看源码,发现答案在注释中 natas:gtVrDuiDfck831PqWsLEZy5gyDz1clt...
记一次CTF过程(Writeup)
热门推荐
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第一题:Robot题目名称:Robot有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
natas(level0-level14)通关详细指南(一)
tempulcc的博客
09-24 2687
natas通关指南level0level1level2level3level4 很久以前玩的一个Web安全的通关游戏Natas,每一关的地址是http://natasX.natas.labs.overthewire.org,其中X代表当前关数,默认用户名是nataX(eg.natas0 是level0的用户名),通过当前的一关获取进入下一关的密码。 level0 URL: http://natas0.natas.labs.overthewire.org Username: natas0 Password:
natas通关记录
weixin_42728957的博客
12-10 2665
OverTheWire 是一个 wargame 网站。其中 Natas 是一个适合学习Web安全基础的游戏,在Natas 中,我们需要通过找到网站的漏洞获得通往下一关的密码。每一关都有一个网站,类似 http://natasX.natas.labs.overthewire.org,其中X是每一关的编号。每一关都要输入用户名(例如,level0的用户名是natas0)及其密码才能访问。所有密码存储在...
Natas Wargame Level 13 Writeup(文件上传漏洞,篡改file signature,Exif)
a_18067的博客
05-14 157
sourcecode核心代码: 1 <? 2 3 function genRandomString() { 4 $length = 10; 5 $characters = "0123456789abcdefghijklmnopqrstuvwxyz"; 6 $string = ""; 7 8 for...
【自用】Python爬虫学习(二):网页解析的三种方式(re、bs4、xpath)
最新发布
Lucky_云佳的博客
08-13 195
【代码】【自用】Python爬虫学习(二):网页解析的三种方式(re、bs4、xpath)
Python——爬虫
2302_81225694的博客
08-10 1379
上述代码中的示例网页URL为https://www.example.com,你可以将其替换为你所需爬取的网页地址。代码首先使用requests库发送HTTP GET请求获取网页内容,然后使用BeautifulSoup库解析网页内容。最后提取了网页的标题和所有链接,并打印出来。当编写一个Python爬虫时,你可以使用BeautifulSoup库来解析网页内容,使用requests库来获取网页的HTML代码。请注意,爬取网页时需要尊重网站的使用规则,并遵守相关法律法规。
应对FingerprintJS反爬:Selenium的破解策略与技术详解
这家伙很懒,什么都没有留下
08-13 474
FingerprintJS是一种基于浏览器指纹识别的技术,它通过收集并分析浏览器的多种特征数据来生成一个唯一的标识符。Canvas Fingerprinting:通过让浏览器绘制特定的图形,并提取图形的像素数据。由于不同浏览器在软硬件环境上的差异,绘制的图形会略有不同,这些差异可用于生成唯一指纹。Audio Fingerprinting:利用音频处理技术,生成一个短暂的音频信号,并提取该信号的特征数据来生成唯一标识。
python 图片爬虫记录
waterHBO的博客
08-04 3349
看了2-3个小时的奥运会, 感觉内心空虚。写点代码。不知道做什么,随便搞一下爬虫,积累一点经验, 写篇博客,记录一下。
natas Level 11-12(常见编码、异或逆推、修改cookie)怎么破解
03-29
Level 11: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段JavaScript代码,其中包含了一个函数`encodeString`,它是用来加密输入的字符串的。 3. 通过分析`encodeString`函数的代码,发现它是对输入的字符串进行了简单的替换和反转操作,最终得到了一个加密后的字符串。 4. 我们可以尝试对加密后的字符串进行反向操作,还原出原始的字符串。 5. 将得到的原始字符串作为参数,构造一个URL,然后访问这个URL,即可通过该关卡。 Level 12: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段PHP代码,其中包含了一个函数`echo base64_encode(strrev(xor_encrypt($data, $key)));`,它是用来加密输入的字符串的。 3. 通过分析`xor_encrypt`函数的代码,发现它是对输入的字符串进行了异或加密操作,并且加密的密钥是一个固定的字符串。 4. 我们可以尝试对加密后的字符串进行反向操作和异或解密操作,还原出原始的字符串。 5. 将得到的原始字符串作为参数,构造一个Cookie,然后将该Cookie发送给服务器,即可通过该关卡。注意,这里要修改的是Cookie,而不是URL。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值