- 博客(21)
- 收藏
- 关注
RSS订阅原创 打卡-web-高级-training www rabots
看题目看题目我再一次查了一遍robotsrobots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。然后我们进入场景概念里面刚提到robots.txt,,结果这里就出来了,不用想
2020-10-13 21:30:16
99
原创 打卡web-高级-baby_web
先看题目它告诉我们想想初始页面时什么,所以找这个 的flag时,就要往初始页面想,我们把1.php删除掉再加载一次,打开web控制台,如图调整查看的内容就能找到flag
2020-10-13 21:23:05
81
原创 打卡web-simple_js
进入场景尝试输一个密码进去,我打开web控制器,burp都没有任何发现,所以我就只能查看源代码了。先把这窜变成10进制,然后再如图输出就是flag,但是不要忘记加上Cyberpeace
2020-10-03 19:26:31
60
原创 打卡web-webshell
我们先看题目进入题目我们看到一句话木马一句话木马,可以用蚁剑这个软件来做,我们打开蚁剑,添加数据,然后打开里面的文档发现flag在这里插入图片描述
2020-10-03 19:21:34
147
原创 打卡web-rff_referer
题目!补充一些相关的内容给大家:标头 (header) 是服务器以HTTP协议传HTML资料到浏览器前所送出的字串,在标头与 HTML 文件之间尚需空一行分隔。进入场景更改IP地址我们可以利用火狐的一个组件,X-Forwarded-For Header,下载安装之后打开,直接可以使用,如图(这个图是还打开了火狐web开发者里面的web控制台。我们把IP改过后,他就会出现必须是谷歌。大家经过前面的题目应该清楚下面这个肯定是跟referer有关的,我们只需要在刚刚消息头的基础上添加referer:
2020-10-02 21:11:23
107
原创 打卡web-simple_php
首先看题目简单的php脚本,进入场景我们看题目,我个人的理解是输入符合要求的a,b的值就可以获得flag。先看第一种方法第二种方法下面我们来讨论一下怎么来挑选ab的值:要求很奇怪:a等于0 ,a不能是0 ,b不是数字类型,b大于1234.这时候一定要注意php中的类型比较了‘a’==0,字符a等于0,字符a存在,那么只需要a的值第一个是字母就可以了。’b’不是数字且大于1234,只要b不是纯数字就可以了。比如4325c...
2020-10-01 21:19:25
86
原创 打卡web-command_execution
第一步题目补充一下相关知识:“|”:直接执行后面的语句。例如:ping 127.0.0.1|whoami。“||”:如果前面执行的语句执行出错,则执行后面的语句,前面的语句只能为假。例如:ping 2||whoami。“&”:如果前面的语句为假则直接执行后面的语句,前面的语句可真可假。例如:ping 127.0.0.1&whoami。“&&”:如果前面的语句为假则直接出错,也不执行后面的语句,前面的语句只能为真。例如:ping 127.0.0.1&&w
2020-09-30 20:52:22
138
原创 打卡web-disable_button
题目进去后看到需要进行的操作是打开web开发者里面的web控制台,然后选中post里面的内容右键编辑,把disable,改为able,如图flag出现!
2020-09-29 20:50:21
85
原创 打卡web-wake_auth
看题目我看到题目第一下的反应就是我刚接触不久的暴力破解。那么我们进入题目验证一下确定了,就是暴力破解。首先第一步,burp suite如果你没有就下载一下,需要注意的时burp suite 是在java环境下运行的,所以你还需要下载jre 或者jdk 来配置java环境。打开burpproxy是burp的代理功能模块。 is on表示已经开启。我们先把burp的代理功能区配好。然后把火狐浏览器的代理打开m打开代理以后,我们随便输入一个用户名和密码。一般用户名会用admin 密码会用123456
2020-09-29 20:38:05
108
原创 打卡web-cookie
首先来看题目Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可以帮助我们实现记录用户个人信息的功能我们进入题目这时我们需要用到火狐浏览器的一个附加组件:manage all cookies.下载安装之后打开这里我们看到一个叫cookie.php 的文件,我
2020-09-29 20:02:54
102
原创 打卡web-get_post
打开,看到题目我们发现它说了http的两种常用的请求方法–>get,post.“get”方法提交的数据会直接填充在请求报文的URL上,如“ https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1 ” “?”问号划分域名和get提交的参数,A=B中的A是参数名,B是参数值,多个参数之间用&进行分割,如果参数值是中文,则会转换成诸如%ab%12加密16进制码。一般来说,浏览器处理的URL最大限度长度为1024B(不同浏览器不一样),所以G
2020-09-27 20:52:50
324
原创 打卡web-backup
首先我们看到题目跟备份有关,那么我们先补充一下备份相关概念:如果系统的硬件或存储媒体发生故障,“备份”工具可以帮助您保护数据免受意外的损失。如果硬盘上的原始数据被意外删除或覆盖,或因为硬盘故障而不能访问该数据,那么您可以十分方便的从存档副本中还原该数据。我们进入题目您知道index.phpd 备份文件吗?:那我们来找找备份文件的后缀有什么:常见的备份文件后缀名有:“.git” 、“.svn”、“ .swp”“.~”、“.bak”、“.bash_history”、“.bkf” .可以试一试。最终确定为b
2020-09-23 19:11:34
112
原创 打卡web-robots
进入第二关,首先看到题目描述那么我们先来了解一下什么是robots协议吧:Robots协议,又称作爬虫协议,机器人协议,全名叫做网络爬虫排除标准(Robots Exclusion Protocol),是用来告诉爬虫和搜索引擎哪些页面可以抓取,哪些不可以抓取,通常为一个robots.txt文本文件,一般放在网站的根目录下。接下来我们进入场景:我们发现什么也没有,这时候我们想到了,题目中的robots协议,我们来查看一下这个页面的robots协议。只需要在上面地址栏的地方加:/robots.txt即可,
2020-09-23 15:32:14
97
原创 打卡web-view_source
首先我们来看题目,网页源代码,鼠标右键。这些都是关键字。那么我们进入场景,将会看到下面这个界面:看到这个界面,首先想起网页源代码,我们点击鼠标右键发现右键不能用,那么我们能用(1)快捷键Ctrl+U,(2)在地址栏最前面加入view-source,如view-source:https://www.qq.com,(3)浏览器单框中找到:更多工具,然后再找到:开发者工具,这三种方法都可以用来查看源代码。当我们看到源代码时就是下面这个页面:到达这个页面,一个明显的:flag is not hrer..
2020-09-22 22:27:44
243
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人