攻防世界 WEB

已于 2022-12-26 20:56:48 修改
阅读量1.1k 收藏 6
点赞数
分类专栏: WEB 文章标签: 前端
于 2022-02-11 19:21:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64702918/article/details/122877455
版权

攻防世界 新手区 WEB

view source

查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了,那就F12吧!
在这里插入图片描述

或者 ···→更多工具→开发人员工具→元素。

robots

X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
题目提示明显,但究竟什么是Robots协议?度娘一下吧!

Robots协议用来告知搜索引擎哪些页面能被抓取,哪些页面不能被抓取;可以屏蔽一些网站中比较大的文件,如:图片,音乐,视频等,节省服务器带宽;可以屏蔽站点的一些死链接。方便搜索引擎抓取网站内容;设置网站地图连接,方便引导蜘蛛爬取页面。

在这里插入图片描述
将Robots.txt转填图下内容,flag出现。
在这里插入图片描述

​​​​backup

他派小宁同学去把备份文件找出来?那么什么是备份文件呐? 放出提示了!
在这里插入图片描述

改成index.php.bak吧!然后就会得到一个文件。
在这里插入图片描述

记得把后缀.bak删去哦!

cookie


X老师告诉小宁他在cookie里放了些东西,这句话,一定有用。先来度娘一下!什么是cookie?从而对于cookie有一定的了解!

由此可得Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可以帮助我们实现记录用户个人信息的功能。

在本学期计算机导论也有相关的表述(学好每一门都很重要):我们经常使用浏览器,也会访问一些网站,这个网站有在你计算机内记录数据(称为cookie)的能力,从而了解到你曾经访问过该网站。然后这些cookie可被用来识别再次浏览的人并记录这些人以前的活动,以便以后更高效地处理这些人的访问(比如推荐常看的内容)。计算机上的cookie还可提供你访问网站的记录。

目前而言:主要为学习阶段,对与问题的解决,尝试解题的方法重在多样!

法1:扩展

在网站,借助Google浏览器(网上是这么说的,其他浏览器也不知道行不行!我这没有其他浏览器)和EditThisCookie来解题:
首先要在扩展里添加一个EditThisCookie。利用EditThisCookie来查找Cookie值是cookie.php。
在这里插入图片描述

接下来访问他!
在这里插入图片描述
通过开发者工具(快捷方式F12也行,我的电脑不支持),在网络中找到cookie.php(没有就按照他的提示刷新一下),点击它,在标头中可得flag!
在这里插入图片描述

注意 :此前大多flag藏在开发者工具,在元素中,这是我遇见第一个在网络中的题!

法2:burpsuite使用

先整个使用教程…
绝对目前为止遇到的最复杂的使用软件(没有找到一个完整的安装教程),导致安装过程十分杂乱,关键全英看不懂,就离谱!一度以为自己的电脑坏了。
这是我遇到的一个问题,CA证书的安装和卸载
还有一个手动代理打开途径:在这里插入图片描述
言归正传,使用BurpSuite抓包查看网站Cookie信息:
在这里插入图片描述
Cookie对应的值是:look-here=cookie.php,接下来和第一种方法一样,访问他呗!得出页面与先前一样。
在这里插入图片描述
再抓一次,即得&

最低0.47元/天 解锁文章
BvxiE
关注
专栏目录
【网络安全 | CTF】攻防世界 web2 解题详析
等风来
05-25 3565
可通过逆向加密算法的步骤,对 $miwen 进行相反的操作,即先使用 str_rot13 还原,然后使用 strrev 翻转,再使用 base64 解码,最后对每个字符的 ASCII 值减 1 ,再进行翻转即可得到 flag。其中,str_rot13 是一个简单的字符替换算法,将每个字符替换为它在字母表中向后移动 13 位后对应的字符。这个算法是一种经典的简单加密方法,可以用来隐藏字符串的真实含义。这段代码定义了一个函数 encode,接受一个字符串参数 $str,并返回对其进行加密后的结果。
攻防世界 web高手进阶区 10分题 biscuiti-300
闵行小鱼塘
11-07 1045
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是biscuiti-300的writeup
web | CTF】攻防世界 wife_wife
weixin_46301214的博客
06-06 5075
我暂时没搞明白这题目意义何在,好像跟实战有点偏离的太远了,用JavaScript服务器来处理登录?账号密码不存放数据库?存缓存里?能让所有人注册管理员账号?太扯淡了。
【愚公系列】2023年06月 攻防世界-Web(wife_wife)
时光隧道
06-13 4914
JavaScript原型链污染是一种黑客攻击方式,利用JavaScript中的原型继承链来污染一个对象的原型继承链,从而影响整个应用程序的执行逻辑。攻击者会利用一些漏洞或者不恰当的代码实现,将恶意代码注入到原型对象中,然后通过继承链的方式将恶意代码传递给整个应用程序。攻击者通常将恶意代码注入到全局对象或者重要对象的原型中,例如等,从而污染整个应用程序。jQuery Prototype Pollution漏洞:攻击者通过修改jQuery的方法来污染,使得在后续的代码中,可以在任何位置调用。
WEB:Wife_wife
32bin的博客
03-22 2756
get flag参考:https://www.rstk.cn/news/25963.html?
攻防世界-web】ics-06
最新发布
weixin_73625393的博客
10-28 1144
点击【设置】后,将代理改为【手动配置代理】,将HTTP代理内容改为在brupsuite中查看到的代理ip,更改完后点击【确定】框3是对可疑的数据进行暴力破解,需要将它做个标识,将光标放到1前,然后按框4的键,对1标识进行暴力破解,鼠标右键,点击【Send to Intruder】发送到【Intruder】,快捷键为【Ctrl+l】方法一:打开【设置】后,在【常规】中,翻到最下边,找到【网络设置】,打开【设置】返回下图界面,进行设置,设置完成后,按框5,执行。点击框5后,破解,下图为正在破解中。
攻防世界Web新手练习篇
m0_63944500的博客
11-19 2390
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1328
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
攻防世界 web高手进阶区 10分题 xss1
闵行小鱼塘
11-10 739
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是xss1的writeup
Hackbar2.1.3.rar
06-13
hackbar免费版,直接用firefox导入即可,功能强大,可以用post和get提交数据,是渗透的一大利器
2021-11-11-get、post、hackbar的使用
m0_54628962的博客
11-11 5438
2021/11/11攻防世界,bugku get/post 1.攻防世界 get_post 打开网页 get传参方法:在url(web地址)后添加/?后加变量名,每个变量名由?隔开 即 post传参方法: 1.在火狐浏览器上安装hackbar插件,浏览器右上角添加组件中搜索hackbar组件添加即可 2.在需要post传参的网页,Ctrl+Shift+k打开web控制台,点开hackbar,在url里输入当前网页网址,选择post data,在下方出现文本框中输入所需传入参数即可 点击Execute
HackBar怎么提交post请求参数(安装好hackbar后的操作)
m0_56005581的博客
07-14 2849
HackBar怎么提交post请求参数。
hackbar使用过程中get 和post的区别
weixin_51439723的博客
12-13 587
hackbar使用过程中get 和post的区别
记一次解决HackBar无法提交post请求参数方法
m0_47470899的博客
07-15 1万+
问题背景 在做sqli-labs Less-11时,发现这是一个post请求,当尝试用hackbar提交SQL注入语句时,点击excute没有反应,困惑了好久,在网上搜索了各种解决办法,没有解决。然后试着换一个浏览器,用谷歌试一下,发现同样是无法正常提交,但是这次它有提示报错:form.submit is not a function 然后就在网上搜索这个报错,发现是submit的问题 form.submit is not a function解决办法 解决办法 初始post 更改后的(仅仅将submit
ctf get post 传参 HackBar
weixin_44614983的博客
01-31 3万+
get和post是http协议的两种基本请求方式 GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据 https://www.w3school.com.cn/tags/html_ref_httpmethods.asp 知乎上这篇更详细,关于get和post的区别 https://www.zhihu.com/question/28586791 web题中会遇到,比如...
攻防世界web篇(二)
weixin_51387754的博客
09-30 527
攻防世界是一群信息安全大咖共同研究的答题、竞赛、以游戏方式结合的一款新型学习平台,融入多种场景在线题型,集实战、理论、趣味于一体。让更多的安全爱好者参与挑战,从赛题中学到知识,从玩法中找到乐趣的全新体验。本次正式上线推出轻量级高品质网络安全竞赛产品——自助办赛,建立了一套费用低、轻量级、可配置的网络安全竞赛解决方案,
渗透测试-浏览器插件-Hackbar的安装与使用教程
热门推荐
保持微笑的博客
01-08 6万+
1.什么是hackbarHackbar是一个浏览器中的一个插件,它的功能类似于地址栏,但是它里面的数据不受服务器的相应触发的重定向等其它变化的影响。 2.安装hackbar 我们以Firefox浏览器为例。 1.点击浏览器的扩展和主题 2. ​ ...
Bugku CTF-web4 POST型传参
weixin_44023403的博客
04-18 3749
前言:最近开始接触bugku,感觉适合新人培养兴趣。自己在学习的时候写个笔记,督促自己多去学习和巩固知识。如果文章和代码有表述不当之处,还请大佬不吝赐教。 Bugku CTF-web4 POST型传参知识积累解题总结 知识积累 HTTP的POST请求:向指定的资源提交要被处理的数据。 HTTP的POST请求方式:把提交的数据放在HTTP包的Body中。 解题 查看PHP代码,发现可用POST类型的HTTP来请求参数,构造报文头来传参 $what=$_POSTI'what'];//读取参数what
AntSword使用方法
09-11
### 回答1: AntSword是一款功能强大的WebShell管理工具,可用于管理Web服务器上的WebShell。以下是AntSword的使用方法: 1. 下载AntSword 可以从AntSword的官方网站(https://antsword.org/)下载最新版本的AntSword。 2. 安装AntSword 将AntSword解压到Web服务器的Web目录中,并确保Web目录具有适当的权限。 3. 配置AntSword 编辑config.json文件以配置AntSword。该文件包含AntSword的各种设置选项,例如WebShell的URL、用户名和密码。 4. 启动AntSword 在Web浏览器中输入AntSword的URL,登录并开始管理WebShell。 5. 使用AntSword AntSword具有许多功能,例如文件管理、命令执行、数据库管理等。您可以使用AntSword轻松管理Web服务器上的WebShell。 需要注意的是,AntSword是一种潜在的安全风险,因为它可以让攻击者轻松地访问和控制Web服务器。因此,在使用AntSword之前,请确保您已采取适当的安全措施来保护Web服务器。 ### 回答2: AntSword是一种网络攻击工具,也被称为蚁剑,它的用途主要是用于进行网络渗透测试和漏洞利用。下面是AntSword的使用方法。 首先,下载AntSword的安装包。可以从蚁剑官方网站或其他可靠的来源下载该软件。 接下来,安装AntSword。双击安装包并按照提示完成安装过程。安装过程相对简单,只需点击“下一步”并接受许可协议即可。 安装完成后,打开AntSword。通常情况下,它会显示一个主界面,该界面包含并列的两个窗格:资源管理器和命令执行。 在资源管理器窗格中,可以看到一些预置的菜单和图标,用于管理和浏览远程目标的文件和文件夹。可以通过点击相应按钮实现文件上传、下载、重命名等功能。 在命令执行窗格中,可以输入和执行系统命令,例如列出文件、查看系统信息等。输入要执行的命令后,点击“执行”按钮即可查看结果。 为了连接到远程目标,需要在资源管理器窗格的顶部找到并点击“连接”按钮。在弹出的对话框中,输入目标的IP地址、端口号和访问凭证(用户名和密码),然后点击“连接”按钮。 如果连接成功,就可以开始使用AntSword进行各种渗透测试和漏洞利用操作了。通过资源管理器和命令执行功能,可以与远程目标进行文件操作和命令执行,以获取目标系统的信息、访问敏感文件并进行其他相关操作。 需要注意的是,使用AntSword进行渗透测试和漏洞利用可能涉及非法或未经授权的行为。在使用前应确保已获得相关法律机构或目标系统拥有者的授权,并遵守相应的法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值