ctf--攻防世界web**区1-5题思路

已于 2022-05-01 15:17:07 修改
阅读量2.2k 收藏 2
点赞数
分类专栏: ctf学习 文章标签: 前端 web安全 安全
于 2022-01-25 17:37:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63354940/article/details/122680332
版权

 攻防世界web新手区

1.view source

查看源代码的方式有三种方法

  1.  电脑右键查看源代码
  2. f12/fn+f12
  3. 在地址栏前面加上view source如view source:htpp

任意选其他方式查看源代码,在源代码中就可以看到flag值 

2.robots

 我们创建场景后发现没有任何的东西

 题目中提到robot协议是什么,那我们就不妨去搜索robot协议

 robot协议也叫robots.txt是搜索引擎中访问网站的时候要查看的第一个文件,我们自然而然地想到访问robot.txt

查看爬虫协议的方法:

在url后添加/robots.txt

可以看到禁止访问flag_则我们再继续访问falg_1s_h3re.php 得到flag值

 3.backup

 备份文件名通常是在源文件后加.bak,我们自然而然地就会想到去访问备份文件,则得到flag值

 4.cookie

 
Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存

用户本地终端上的数据(通常经过加密)。

 查看源代码得到提示

 访问cookie.php

 cookie在网络中是作为包头传送的,有可能这个界面的包中就有我们需要的信息,而且也面提示see the http response,我们用 burp suite尝试抓包看header(过程省略)得到flag值

 

 5.disabled_button

 

 查看页面源代码

 使用开发者工具将disable变为able再点击按钮就可得到flag值

syy️️
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctfshow web入门解(一) web1-10
weixin_48604668的博客
07-26 1539
ctfshow靶场的web vip解前10道
CTFweb库笔记(难度1)
cocoaiu的博客
08-11 8166
CTF笔记
CTF_WEB(习)
若比邻的博客
12-15 5084
一、bugku_web_cookie欺骗:https://ctf.bugku.com/challenges/detail/id/87.html 地址栏filename一看为base64,解密为keys.php 尝试index.php加密为base64:aW5kZXgucGhw,读取一下,啥也没有 观察地址栏,将line赋值为1试试,发现是将index.php按行读取了 将index.php读取出来,读读取结果 #cookies欺骗 import requests php=""
CTFWeb目的各种基础的思路-----入门篇十分的详细
热门推荐
m0_64815693的博客
09-13 2万+
想学习CTF-web这里给你一个思路,给你一个方向
使用java api 实现操作 hdfs
qq_41135504的博客
09-21 1523
使用java api操作hdfs 1. eclipse中创建maven项目 1.1 apache-maven-3.3.9环境配置 新建一个目录存放maven 配置maven环境变量 系统变量:MAVAN_HOME=C:\Application\apache-maven-3.3.9 //地址是存放maven的目录 系统变量:PATH=%MAVEN_HOME%\sbin 打开cmd,输入:mvn -version回车 C:\Users\23011>mvn -version Apac
无法查看源代码
热爱编程的菜鸟
04-29 466
总结了一下各种方法 解决方法: 前面加view-source// ctrl+u ctrl+shift +i ctrl+shift +c ctrl+s 保存查看
CTF-Write-up:CTF撰写和信息
03-21
CTF(Capture The Flag)是网络安全领域的一种竞赛形式,它模拟了现实世界中的安全挑战,参赛者通过解谜、逆向工程、网络攻防等手段获取“旗子”(通常是代表解成功的字符串),以此来得分。CTF比赛涵盖了密码学、...
工匠杯-CTF目+exp+解思路
04-01
结合了解模式与攻防模式的CTF赛制,比如参赛队伍通过解可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。 资源包括...
h1-702-ctf-2018-solutions:Hackerone组织的H1702 CTF的代码利用
04-30
【标】"H1-702-CTF-2018-Solutions" 提供的是针对Hackerone组织在2018年举办的一场名为H1-702的网络安全竞赛(Capture The Flag,CTF)的解代码。这类竞赛通常涉及多种信息安全技能的测试,包括但不限于逆向工程...
攻防世界miss-01,杂项misc太湖杯
11-01
"攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问,该问分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
ctf-dc
03-12
"ctf-dc-master"项目可能涵盖了以上的一些或全部知识点,提供练习目、解思路、工具代码等,帮助用户提升在CTF竞赛中的表现。对于想要学习网络安全或参加CTF比赛的人来说,这样的资源是非常宝贵的。
CTF----Web真零基础入门
B_cecretary的博客
01-17 2万+
前置知识: TCP/IP体系结构(IP和端口): IP是什么:是计算机在互联网上的唯一标识(坐标,代号),用于在互联网中寻找计算机。 访问网站时:域名会通过DNS(解析服务)解析成IP。 所以,互通的前提条件就是双方都能找到对方的IP地址。 内网(局域网)IP和公网(互联网)IP: 内网IP:路由以内的网络,可以连接互联网,但是互联网无法直接连接内网(需要端口映射) 如何判断自己的电脑是内网还是公网: --在本地电脑命令行输入jipconfig,ifconfig(Linux,macos)查看
CTF系列之Web——联合查询注入
洛柒尘的博客
06-27 3238
前言 在刚学习SQL注入的过程中非常艰难,查资料的时间有一周这么长,点开的网页也不下一千,认真读的也最少有两百,可是能引导入门的真的没几篇,都是复制来复制去的,没意思,感觉就是在浪费时间。有很多知识点都很散,很少能考到一片吧所有知识点总结在一块,最少也要三四个知识点也好呀,可惜太少了,大部分大佬写的都是基于他们现有的技术写的,写的很笼统,不适合新手看。可以发现很多大佬的文章看不懂就是这个原因,没有基础看的很懵的。所以我就想着写两三篇来总结我学习过的SQL注入知识点。 学习web系列推荐先学习MySQL、H
BUGKU CTF--web 基础{成绩查询}
lulu001128的博客
12-03 874
BUGKU CTF--web 基础{成绩查询}解过程
ctf-web-成绩查询
god_001的博客
04-13 1130
目: 打开网页: 一个提交页面,按提示输入1,2,3能够得到三个成绩单表格:如1时: 查看源代码: 发现,表单使用post方式提交,并且name="id" 猜测使用SQL注入 首先检测闭合方式: 分别post id=1' id=1" 发现post id=1"时,正常,post id=1'时无响应 应该是单引号 ' ' 闭合 再通过order by查询当前表列数: 于是可以判断...
Web方向】 敏感文件查询
wanderer的博客
11-14 1088
ctf敏感文件泄露
CTFHUB-网站源码
Web学习之路
11-06 4145
CTFHUB-网站源码,四种方法:dirsearch,python,burpsuite,御剑。
CTFShow-WEB入门篇--信息搜集详细Wp
最新发布
Aluxian_的博客
06-02 2230
CTFShow-WEB入门篇--信息搜集详细Wp
ctf web——源代码
god_001的博客
03-28 1728
打开目网页: 于是查看网页源代码看到: 其中类似%66%75……的内容猜测是URL编码,解码后得到: 该脚本就相当于运行 函数checkSubmit(): 根据函数的含义,在网页中输入:67d709b2b54aa2aa648cf6e87a7114f1 得到结果: ...
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

syy️️

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值