![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
攻防世界
diandian..
愿我暴富
展开
-
攻防世界WEB(新手模式)10-disabled_button
那么我们只需要删除这个属性就ok(把disabled这几个字母删除就ok,双击这个单词然后就可以删除了)点击f12查看,发现input被设置成了disabled属性。接下来回到题目,发现按钮可以点击了,直接出flag。点进去之后,确实诶,有个按钮但是点不动。题目给的提示:前端、按钮。原创 2024-07-21 08:53:04 · 88 阅读 · 0 评论 -
攻防世界WEB(新手模式)9-cookie
发现一句英文,不知道什么意思,直接百度翻译,非常明显的告诉我们了,让我们查看http响应。果然发现cookie.php进入相关页面在(URL输入cookie.php即可)我们在URL上面输入cookie.php的时候,已经自动跳转,得到falg了。ok简单了解过后我是直接f12看看有没有什么有用的信息。我不知道,我直接百度吗,简单学习一下。打开题目,满屏cookie啊。原创 2024-07-21 08:41:09 · 178 阅读 · 0 评论 -
攻防世界WEB(新手模式)8-backup
回想题目名字叫做backup,并且在搜索过后发现index.php的后缀名可以加.bak,所以我就试了一下在URL打.bak(全:index.php.bak)出现了个下载的文件,不要慌张,另存在桌面用记事本打开。打开题目,就看见了一个小小的提示“备份”根据提示在URL打了但是没什么反应。oky,flag直出。原创 2024-07-21 08:30:10 · 24 阅读 · 0 评论 -
攻防世界WEB(新手模式)7-robots
发现了个flag_ls_h3re.php,还是老规矩啊,放到URL看看(直接复制粘贴进去就可以)那么好,我现在知道了他就是一个robots.txt文件,那我直接放到URL看看。进入环境之后一片空白啊,看来只能从题目入手,看看robots协议到底是什么吧。咱们也是简单检索一下就发现了robots协议啊,大家有兴趣的可以点此链接观看。oka他直接告诉我们flag不在这,那我们只能重新回到robots协议了。但是在此之前呢,我家是习惯性看下他的源代码,看看能不能发现什么信息。原创 2024-07-20 08:29:59 · 272 阅读 · 0 评论 -
攻防世界WEB(新手模式)6-get_post
按照要求提交之后,他又有个要求:用post方式随便提交一个名为b,值为2的变量。打开题目,看见很明显的提示:用get方式提交一个名为a值为1的变量。接下来我们需要用到一个工具--MantraPortable.exe。在下面框里面随便输入b=2(任何数字都可以),然后点击左边。打开之后我们只需要把我们复制好的网址放进去,然后点击。就可以了,直接出flag。原创 2024-07-20 08:21:13 · 406 阅读 · 0 评论 -
攻防世界WEB(新手模式)5-view_source
看到这道题的时候,隐隐约约感觉给我们提示了。那不就是让我们想办法查看网页源代码嘛。ok既然他说右键用不了,那我们直接f12。答案直接出来了哈哈哈哈。原创 2024-07-19 08:28:53 · 161 阅读 · 0 评论 -
攻防世界WEB(新手模式)4-ics-06
位置设定好了之后,我们设置破解范围。这里面我选的是数值,从0-10000(因为原网址给的就是id=1,我们只需要把1换一下就行)设置好后开始攻击就可以了,扫描之后结果如下(这给地方就是看长度跟别人不一样那么这个大概率就是我们攻击的结果)这里教大家一个快捷方式,就是长度这个地方可以选择从大到小或者是从小到大排序,可以一目了然,就不用一个个去找了。然后我用的工具是burp,打开内嵌浏览器,把网址复制进去之后,我是随便弄了个日期。点击左边目录栏,发现只有一处不同——报表中心,正好与题目相呼应,随即从此入手。原创 2024-07-19 08:24:50 · 398 阅读 · 0 评论 -
攻防世界WEB(新手模式)3-unserialize3
反序列化漏洞通常发生在未经过滤的用户输入被反序列化的情况下。如果攻击者能够控制反序列化的数据,他们可能会注入恶意对象,触发类中的特定方法或属性,导致意外行为。当序列化字符串中属性个数大于实际属性个数时,不会执行反序列化,从而跳过wakeup()原本:O:4:"xctf":1:{s:4:"flag";s:3:"111";方法在对象反序列化时被调用。这段代码中,当该类对象被反序列化时,将立即调用。包含序列化对象数据,就可能触发反序列化漏洞。,初始值为'111',并且定义了一个。方法被调用,从而终止脚本执行。原创 2024-07-18 08:42:39 · 252 阅读 · 0 评论 -
攻防世界WEB(新手模式)2-PHP2
因此我们知道这题的要求是对admiin进行URL编码,因为$_GET本身自带一次urldecode,题目本身又进行了一次urldecode,所以要对id赋的值admin进行两次url编码。就很莫名其妙有没有,然后我检查源代码和f12都没什么信息,回头看题目,他的名字是PHP2,那么就很容易联想到php嘛,先进phps。直接在URL输入/index.phps就可以直接发现源代码,接下来进行代码审计。这里我用的是burp自带的编码工具进行两次编码。然后在URL中加上就ok了。还去百度翻译翻译了一下。原创 2024-07-17 08:38:18 · 113 阅读 · 0 评论 -
攻防世界WEB(新手模式)1-Training-WWW-Robots
出来了一个fl0g.php,再次写入,直接得到答案。点击进靶场之后发现有一块标蓝,点击后没反应。翻译之后,发现一个robots.txt。直接写进看看有什么信息。原创 2024-07-14 10:46:22 · 185 阅读 · 0 评论