攻防世界之web新手篇

最新推荐文章于 2024-07-02 16:04:18 发布
最新推荐文章于 2024-07-02 16:04:18 发布
阅读量194 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newly00/article/details/104393619
版权
本文介绍了攻防世界中涉及的Web安全基础知识,包括robots协议的利用、备份文件获取、Cookie分析、禁用按钮的启用、弱认证破解及简单PHP条件判断解题方法,详细讲述了各个挑战的解决步骤和思路。
摘要由CSDN通过智能技术生成

1.robots

在这里插入图片描述
robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限
所以进行如下操作
在这里插入图片描述

找到flag文件位置并访问
得到flag为
在这里插入图片描述

2.backup

打开题目所给的网址可以看到这样一句话

在这里插入图片描述

通过百度得知
在这里插入图片描述

于是进行如下操作,在原来网址后面加上index.php.bak
在这里插入图片描述
得到如下后缀名为.bak的文件,再更改文件后缀名以文本格式

最低0.47元/天 解锁文章
newly00
关注
攻防世界-----web知识点总结
m0_62879498的博客
12-03 1495
WEB 一. 网页源代码的方式 在地址栏前面加上view-source,如view-source:https://www.baidu.com 浏览器的设置菜单框中使用开发者工具,也可以查看网页源代码。 二. robots(robtos.txt) robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如
攻防世界WEB新手练习区(更新至11)
HHH's Blogs
08-09 1万+
001 view_source
攻防世界web新手区合集
CNXBDSa的博客
08-07 3215
攻防世界(xctf)做题合集-get_post- robots-backup-cookie-disabled_button-simple_php-weak_auth-xff_referer-simple_js-command_execution 注意有些题需要直接实践-不去实践永远别想进步 1.view_source 打开 然后查看源代码就找到flag了 cyberpeace{32b6a4b190...
攻防世界——web高手进阶区题解
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
攻防世界web
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界Web新手练习
m0_63944500的博客
11-19 2415
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
攻防世界Web新手题 NewsCenter
qq_52481261的博客
07-02 465
搜索框搜索文字会有相应返回,应该能判断search搜索框是用于进行注入的注入点。来攻击系统,而SQL注入则是攻击者通过在应用程序中注入。id=1' order by 4#(页面空白)id=1' order by 3#(有返回)区别:命令注入是指攻击者通过在应用程序中注入。这里很明显了,我们需要查看fl4g列。数据库表名为secret_table。从页面返回能判断是SQL注入。说明第二列第三列会有返回。数据库名字为news。
攻防世界Web新手题 easyupload
qq_52481261的博客
06-13 760
思考理解是不是有什么东西被识别出来了,有可能是文件中的命令被识别了,并且文件是根据txt改写的有可能识别出来不是图片,因此将命令中的‘php’删除并且加上一个GIF89a的图片头表明这是一张图片。文件允许用户在其网站或应用程序的根目录下设置特定的 PHP 配置选项,这些选项会影响到该目录及其子目录中运行的 PHP 脚本。当你在计算机中打开一个 GIF 文件时,文件的开头通常会以 "GIF89a" 开始,这个标识符告诉解析程序这是一个符合 GIF 格式规范的文件,并且使用的是 "89a" 版本的格式。
攻防世界web新手题答案_攻防世界web 新手区 wp
weixin_39518840的博客
11-21 2922
view_source题目描述右击不管用,打开题目看到以下界面右击不管用,可以按F12 -> source 查看源代码,拿到flagrobots题目描述就是和robots协议有关的,直接在url中 输入robots.txt 查看 robots协议,并拿到flagrobots协议robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Note...
攻防世界 web新手练习区题解 下
weixin_46330722的博客
10-30 657
攻防世界 web新手练习区题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码,我们直接来分析一下,首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
攻防世界web新手练习unseping
JIN_7X的博客
09-26 4654
这是新手区第一题?不敢想象后边的题是什么样
攻防世界——web新手模式(全解)
AuroraMiraitowa的博客
12-08 1244
3.我们可以从这里观察到,它上面有一个f10g.php文件不允许我们进入,接下来我们就用好奇的金手指复制一下,然后再将robots.txt替换成f10g.php,进入界面即可得到flag;1.robots协议:它是一个网站与搜索引擎之间的一种协议,它主要是告诉爬虫它们那些可以爬那些不能爬,但这个协议并不是一个规范,所以就很鸡肋(相当于写出来让别人看看而已,没啥用)额,这又是一道送分题,我给各位一个建议,你打CTF时多看看源码也不错,说不定出题人意想不到的把flag给注释掉了…前面写过可以看我之前的文章。
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8214
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
CTF攻防世界web初级区详解
qq_62540010的博客
12-05 4458
最近几天刚刚接触了ctf,去尝试了一下攻防世界web区的新手题目,以下解题过程记录一下自己的学习体会与心得,如果哪里有错可以在评论区告诉我,我及时改正。 1.view_source 1.1获取场景后: 1.2根据题目要求,我们需要查看网页源代码,打开方式一种是鼠标右键打开,一种是按F12键,题目规定无法右键,所以我们按F12打开,如图: 1.3第二种解法:在其他网页打开源代码后把地址换成该网页地址,即view-source:后加上该网页地址,如图: 至此拿到flag,第一题完成 2.robot
基于杜比NIR数据训练的一些深度学习模型.zip
09-22
这个项目可以命名为“基于选择性核与多尺度注意力的非侵入式负载监测模型”。这个名称突出了项目中使用的关键技术:选择性核(Selective Kernel, SK)单元和高效多尺度注意力(Efficient Multi-scale Attention, EMA)模块。这样的命名方式有助于清晰地传达项目的技术特点和创新点。 如果需要更简洁或者更具吸引力的名称,可以考虑以下选项: 1. **SK-EMA NILM Framework**:结合了项目中两个核心技术的缩写,简洁且易于记忆。 2. **DeepNILM-SKEMA**:强调了深度学习在非侵入式负载监测(NILM)中的应用,并突出了模型的两个主要组件。 3. **AMSAM-NILM Model**:直接使用项目名称,表明这是一个针对特定应用(非侵入式负载监测)的模型。 4. **Multi-Scale Attention NILM**:强调了多尺度注意力机制在模型中的作用。 5. **Selective Kernel NILM System**:突出了选择性核单元在提高识别精度中的重要性。 选择项目名称时,考虑到项目的市场定位
基于springboot生鲜农产品保鲜及溯源管理系统论文.docx
09-22
基于springboot生鲜农产品保鲜及溯源管理系统论文
【高创新】基于金枪鱼优化算法TSO-CNN-LSTM-Attention的用客流量预测算法研究Matlab实现.rar
最新发布
09-22
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
基于Scss的美食分享网站设计源码
09-22
本项目是基于Scss开发的美食分享网站,包含180个文件,其中包括122个JavaScript脚本文件、14个MAP文件、14个HTML页面文件、13个CSS样式表文件、6个SCSS源代码文件、5个JSON配置文件、3个TXT文本文件和2个Markdown文档文件。此外,还有1个ZIP打包文件。该项目旨在为用户提供一个便捷、美观的美食分享平台,支持美食食谱分享、用户互动、社区交流等功能,以提升用户体验和网站的可访问性。
攻防世界web新手题unserialize3
05-05
题目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ...首先看到这是一个传入参数进行反序列化的题目,传入参数为 $_GET['a'],并且在反序列化后判断其类型是否为 Flag,如果是则输出 $a。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值