XCTF 攻防世界 WEB练习题1-5

最新推荐文章于 2024-10-16 11:23:07 发布
最新推荐文章于 2024-10-16 11:23:07 发布
阅读量195 收藏
点赞数 4
文章标签: 前端 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lee_maple/article/details/121129445
版权

1、view_source

 进入在线场景发现无法通过鼠标右键查看源代码,我们可以直接按F12键打开开发人员工具,即可查看网页源码

2、robots

robots协议:

robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。

在URL后加上robots.txt

可以看到flag_1s_h3re.php显示禁止爬取

所以在 URL后加上f1ag_1s_h3re.php即可获取带有flag的PHP文件

3、backup

进入场景之后可以看到如下文字

在这里插入图片描述

我们在搜素引擎上搜索index.php的备份文件名,得到index.php的备份文件名为index.php.bak

我们直接在 URL后加上index.php.bak即可获取带有flag的PHP文件

4、cookie

Cookie
Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。

根据标题提示cookie,我们先去查看浏览器的cookie,发现look-here,值为cookie.php

我们查看cookie.php,在开发人员工具中选择网络,获取响应头数据,即可获得flag

5、disabled_button

看到这个题,我们先查看源码

在这里插入图片描述

 发现写有disabled属性,disabled可设置或返回是否禁用单选按钮。所以删掉disabled属性,再点击按钮即可

枫糖丶
关注
xctf部分题目
keaixiaohan的博客
09-24 376
xctf部分题目 ​ 一、CandyShop 通过观察页面发现了帐号登录功能,尝试sql注入与xss无果,,尝试注册帐号,可以注册帐号,但所有帐号均未激活,通过审计源码(这里先通过工具seay审计,但是seay只能找出可能存在漏洞的函数,对于这种题目而言,只能通过人工审计。),发现了一个已经激活的帐号,但是无密码。 let users = client.db('test').collection('users') users.deleteMany(err => { if (...
XCTF攻防世界练习区简单题-web题-GET Post
果冻先生的专栏
10-30 1079
0x02. get post 【题目描述】:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 【目标】 了解http请求方法,此处考察get和post两个最常用的请求方法。HTTP协议中共定义了八种方法或者叫“动作”来表明对Request-URI指定的资源的不同操作方式,具体介绍如下: ·GET:向特定的资源发出请求。 ·POST:向指定资源提交数据进行处理请求(例...
XCTF练习题---MISC---3-11
liu914589417的博客
07-07 414
XCTF练习题—MISC—3-11 flag:FLAG{LSB_i5_SO_EASY} 解题思路: 1、观察题目,下载附件 2、下载后是一张图片,根据习惯直接Stegsolve打开查看 3、通过各种方法没有找到任何答案,判断可能是RGB或LSB图片隐写,按照习惯进行设置,发现是一个压缩包格式文件 4、转换为压缩包格式,发现其中有flag值,可是Windows提取不出来,直接上Kali打开 5、拿到这么多值,一看结尾是=号,判断是base64,尝试一下base64解码。发现开头有点东西,png格式
XCTF练习题---MISC---小小的PDF
liu914589417的博客
04-28 658
XCTF练习题—MISC—小小的PDF flag:flag:SYC{so_so_so_easy} 解题步骤: 1、观察题目,下载附件 2、下载完发现是一个PDF文件,经过转Word,查看属性,十六进制查看后一无所获 3、经过判断,尝试看看Kali的Binwalk,开启Kali,直接扔进去进行拆解,命令:binwalk a4f37ec070974eadab9b96abd5ddffed.pdf 4、经过拆分发现其中有3个图片,而PDF里只有两张图片,从而推测第三张图片就是flag,直接dd拷贝出来。 命令
XCTF练习题---MISC---hong
liu914589417的博客
11-25 330
XCTF练习题—MISC—hong flag:BCTF{cute&fat_cats_does_not_like_drinking} 解题步骤: 1、观察题目,下载附件 2、下载文件后发现是一个.mp3的音乐文件,打开无法运行,放在Winhex和Audacity中并找不到有价值的信息,直接上Kali的binwalk 3、经过文件分析发现存在两个Jpeg的图片格式文件,既然如此开始进行拆分,使用命令foremost进行拆分 4、打开生成的文件夹,其中有一个jpg文件夹,里面有两张图片 5、经过简
【愚公系列】2021年12月 攻防世界-进阶题-MISC-073(5-1)
热门推荐
时光隧道
12-09 3万+
文章目录一、5-1二、答题步骤1.xortool(异或工具)2.加密命令3.解密命令4.解题总结 一、5-1 题目链接:https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=1&page=5 二、答题步骤 1.xortool(异或工具) xortool是一个多字节异或加密破解工具。 基本异或、加法、SUB 和 ROR/L 计算器 加密/解密文件 在文件中搜索编码的字符串 分析文件(字节匹配项) 在
XCTF攻防世界练习区-web题-Robots
果冻先生的专栏
09-19 1088
0x03. Robots 【题目描述】 X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 【目标】 掌握robots协议的知识。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索爬虫访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索爬虫就会按照该文件中的内容来确定访问的范围;如...
XCTF攻防世界练习区-web题-backup
果冻先生的专栏
09-19 3099
0x04.backup 【题目描述】 X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 【目标】 掌握有关备份文件的知识。 常见的备份文件后缀名有: 常见的备份文件后缀名有:“.git” 、“.svn”、“ .swp”、“.~”、“.bak”、“.bash_history”、“.bkf” (共7种) 【解题思路】 (1)那就按照常见的备份进行解析...
XCTF攻防世界练习区-web题-simple_js
果冻先生的专栏
09-24 2022
0x07 simple js 【题目描述】 小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 【目标】 掌握有关js的知识。查看页面源码,了解js和读懂代码。 【解题思路】 F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令) 先输入一个password厂商一下返回的结果。 查看...
CTF 题目练习题
syh_486_007的专栏
06-01 3万+
入门----从基础题目出发(推荐资源): http://ctf.idf.cn !!!首推 idf实验室:题目非常基础,只1个点 www.ichunqiu.com 有线下决赛题目复现 http://oj.xctf.org.cn/xctf 题库网站,历年题,练习场,比较难 www.wechall.net/challs !!!!!!非常入门的国外ctf题库,很多国内都是从这里刷题成长起来的
oj.xctf.org.cn ctf平台的可供练习的题库
如梦山河
10-29 1979
链接地址是:http://oj.xctf.org.cn 平台会给我一些题库的链接,根据题库IP进行1-65535的端口扫描,会发现一些其他题 http://202.112.51.184:10085 http://202.112.51.184:10093 http://202.112.51.184:13080 http://202.112.51.184:15080 http://202.112...
信息安全类-XCTF_OJ练习平台
山里樵夫俗称大叔
10-25 9625
资源网站名称:XCTF_OJ练习平台 网址:http://oj.xctf.org.cn/ 简介: XCTF-OJ (X Capture The Flag Online Judge)是由XCTF组委会组织开发并面向XCTF联赛参赛者提供的网络安全技术对抗赛练习平台。 XCTF-OJ平台将汇集国内外CTF网络安全竞赛的真题题库,并支持对部分可获取在线题目交互环境的重现恢复,XCTF联赛后续
ctf题库--欢迎来到地狱
miko2018的博客
08-21 2万+
<题目> 连环套哦。格式CTF{xxxx}。 解题链接: http://ctf5.shiyanbar.com/stega/hell/欢迎来到地狱.zip <解答> 这道题非常有意思、涉及到的知识也比较多,因此这一次解答会写的详细一些。 ※下载文件并解压,打开文件夹,里面有一张图片、一个文件和一个压缩包。 双击图片发现无法打开、而doc文件也是显示被加了密的,z...
XCTF:练习CTF解题XMAN比赛 8-8 login
Gunther的博客
09-05 1967
login 首先查看源码(看关键点): 因为是post方式那么我们就利用bp. 在登陆页面输入username=admin,,password=admin得到下面信息: 下面分析: if ($result!=null&&$result->rowCount()==1) { echo $flag; }搜了一下P
ctf题库--1000
miko2018的博客
08-21 2万+
<题目> 答案格式:CTF{} 解题链接: http://ctf5.shiyanbar.com/misc/1000.exe <解答> 打开题目链接下载文件,打开exe,在输入密码之前程序创建了tips.jpg的图片文件。 ※程序提示1000有特殊含义,因此我们考虑是二进制,我们将其转换成十进制的8并且输入。 得到了和tips一样的结果。可是点击确定后却没有...
web扩展
x737510的博客
10-10 610
HTTP(Hypertext Transfer Protocol)协议中的它们在用途和使用方式上有一些区别。用于请求服务器上的资源,通常是获取数据。GET 请求是幂等的,多次请求返回的结果应该是相同的,而且不应该对服务器产生任何副作用。用于向服务器提交数据,通常是提交表单数据或上传文件等。POST 请求可能对服务器产生副作用,例如在数据库中创建新的资源。数据通过 URL 参数传递,附在 URL 后面。因为数据在 URL 中可见,所以不适合传递敏感信息,且有长度限制。
06_实现watch
qq_53109172的博客
10-16 750
watch 本质上就是监听一个响应式数据,这个响应式数据发生变化的时候,进行通知并触发相应的回调函数。
004-按照指定功能模块名称分组
最新发布
xiaogang1226的博客
10-16 187
需要把一个功能模块的几个功能点放在同一个文档目录下,这几个功能点分布在不同的 Controller。需要把他们单独分组,方便前端对接。在@ApiOperation 里面增加属性 tags 赋值。
前端地图数据开发
shuxiaoxii的博客
10-13 281
基于Turf.js教你快速实现地理围栏的合并拆分。turf js 地理空间分析库,处理各种地图算法。如何拆分一个乡镇或区的地图。获取市级的行政区域划分。直接导入地图的json。高德地图查看市级区域。js实现地图区域合并。
攻防世界upload1
07-28
- *2* *3* [XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)](https://blog.csdn.net/Onlyone_1314/article/details/121503130)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

枫糖丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值