最近弄了很多web的题 很多不一样的知识点
首先是picoctf靶场的题目 picoctf是我们中国台湾的ctf靶场 里面的题特别的好
下面就是第一题
第一题:Red&Blue
首先我们f12检查一下 有没有可利用的信息 但是我们并没有发现在检查里,那么我们考虑是抓包还是SQL注入呢。为了简单我们从抓包方面弄。
在F12中 网络就可以进行抓包
我们可以看到 他这个是POST请求 但是这个题目叫做GO AHEAD 那可以试一下更换请求方式来过去flag
点击重发,进入如下界面
把POST请求换成HEAD请求 点击发送 我们就会看到flag了
picoCTF{r3j3ct_th3_du4l1ty_2e5ba39f}
第二题:Where are the robots
关于robots.txt文件
我们大概可以理解为:Robots.txt文件是网站跟爬虫间的协议,对于专业SEO并不陌生,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
在URL后面加上/robots.txt 访问/477ce.html 就可以获得flag了
第三题: Just some boring HTML
题里给我们提示了 html css js (前端三件套)我们就直接F12检查搜flag就完了。先看js
‘我怎么不会被搜索到’ 那就是我们之前做过的robots.txt
直接访问robots.txt
然后他说 #I think this an apache sever 那就是阿帕奇服务器 在apache中 会存在 .htaccess文件
什么是.htaccess?
.htaccess(超文本访问)是许多Web服务器根据目录应用设置的有用文件,允许在运行时覆盖Apache服务器的默认配置。使用.htaccess,我们可以在运行时轻松启用或禁用任何功能。
所以直接在url后面+/.htaccess
接下来就是 I love making websites on my Mac 那就可以直接访问/DS_Store
.DS_Store是什么?
.DS_Store是Mac系统中产生的一个隐藏文件,记录文件或目录的一些自定义属性
全部ok