XCTF1-web disabled_button weak_auth view_source cookie backup

已于 2022-11-16 19:53:34 修改
阅读量509 收藏
点赞数
分类专栏: CTF练习记录 文章标签: web安全
于 2022-11-16 18:13:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/orchid_sea/article/details/127890133
版权
本文介绍了四个关于前端开发的挑战:解除按钮禁用、弱口令登录、查看源码和寻找隐藏cookie。通过这些案例,展示了如何解决前端交互问题、进行简单的密码破解、利用F12快捷键查看网页源码以及检查HTTP请求中的cookie信息来获取关键信息。
摘要由CSDN通过智能技术生成

一个不能按的按钮

题目描述

X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?
在这里插入图片描述

进入场景
  1. 题目提示为前端设置的问题,查看网页源码,定位按钮
    在这里插入图片描述
  2. 发现使用input标签设置的按钮,使用了disabled禁用属性,删除掉该属性加载页面
    在这里插入图片描述
  3. 页面回显了flag

弱口令

题目描述

小宁写了一个登陆验证页面,随手就设了一个密码。
在这里插入图片描述

进入场景
  1. 是一个用户登录界面,测试一下常用用户名密码
    在这里插入图片描述
  2. 测试用户admin,密码123456 成功登录
    在这里插入图片描述
  3. 得到flag

view_source

题目描述

X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
在这里插入图片描述

进入场景

  1. 提示flag不在这儿
    在这里插入图片描述

  2. 查看源码吧(这里鼠标右键点不动,直接F12快捷键查看)
    在这里插入图片描述

  3. 直接在源码里就得到了flag

cookie

题目描述

X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?’
在这里插入图片描述

进入场景

  1. 根据题目,查看请求的cookie
    在这里插入图片描述

  2. 发现cookie.php文件,访问
    在这里插入图片描述

  3. 在请求中存在 flag

backup

题目描述

X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!
在这里插入图片描述

进入场景
  1. 提示index.php的备份文件
    在这里插入图片描述
    2.直接输入index.php.bak下载备份文件
    在这里插入图片描述
  2. 打开备份文件,找到flag
    在这里插入图片描述
777sea
关注
专栏目录
【网络安全 | CTF】攻防世界 disabled_button 解题详析
等风来
05-21 4919
题目描述:X老师今天上课前端知识,然后给了大家一个不能按的按钮小宁惊奇发现这个按钮按不下去,到底怎么才能按下去呢?5.表单验证失败:如果表单包含了 JavaScript 验证代码,验证结果为 “false”,则该。属性未设置,或者设置了错误的名称,那么提交表单时,服务器无法识别该字段。标签是必填字段,但用户未填写数据,则此标签不会提交表单。属性,则该标签不可用,不会提交表单。,由HTML相关知识可知,该按钮。标签必须包含在表单元素。属性,例如将其设定为。,则该标签不会提交表单。标签也不会提交表单。
xctf-web 新手练习区
尊暮萧的博客
05-31 316
view_source 这道题没什么说的,禁用右键了,F12开发者工具就可以直接调出来,直接出结果了。 robots 题目描述很明显,robots,那就在地址栏后面加上robots.txt 访问这个页面 f1ag_1s_h3re.php 就可以了 backup 通常后缀加上bak就是备份文件,试试? 下载了,打开之后出flag cookie 那我们就查看cookies,发现look-here,value指向一个页面,二话不说访问页面 让我们看请求头,果然有flag disabled_bu
信安入门(2)
Z_blog
01-31 1187
ctf web小宁写了一个登陆验证页面,随手就设了一个密码。 weak auth 首先随便输入用户名和密码 得知用户名为admin,然后我数入密码admin 然后就想到爆破,然后就去搜了下弱密码爆破,发现用户两边的符号要去除 发现123456长度不一样,然后输入123456得到flag X老师告诉小宁其实xff和referer是可以伪造的。 index 首先我搜xff和referer是什么 ...
【攻防世界】web新手练习005 disabled_button
weixin_43545225的博客
09-12 267
【攻防世界】web新手练习005 disabled_button 难度系数:1 题目描述: X老师今天上课前端知识,然后给了大家一个不能按的按钮小宁惊奇发现这个按钮按不下去,到底怎么才能按下去呢? 题目场景: http://111.200.241.244:55280/ 解题思路 遇见web题目,习惯性F12看一下控制台。 发现这个网页是由一个form表单组成的,并且是可以提交的。 只是这个input提交按钮被禁用了。 思考题目提示disabled_button 把禁用的input
攻防世界weak_auth解析流程
最新发布
m0_60642470的博客
07-10 219
弱密码:弱密码是指容易被猜测或破解的密码,通常因为其简单性或预测性。使用弱密码可能导致账号被盗用、数据泄露或其他安全问题。
老师小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了
ngc2244的博客
04-08 8713
第一题 查看一个网页的代码一般如下: 右键: 此题右键无效,CTRL+U 哭了哭了 第一次提交框框错误 第二次提交cy....8e}终于成功 第二题: Robots 搜索引擎使用spider程序自动访问互联网上的网页并获取网页信息。spider在访问一个网站时,会首先会检查该网站的根域下是否有一个叫做robots.txt的纯文本文件。您可以在您的网站中创建一个纯文本文件robots.txt,在文件中声明该网站中不想被robot访问的部分或者指定搜索引...
XCTF web新手 disabled_button
Activeclown的博客
04-26 523
1.题目描述:X老师今天上课前端知识,然后给了大家一个不能按的按钮小宁惊奇发现这个按钮按不下去,到底怎么才能按下去呢? 2.题目分析:根据描述,猜测本题可能需要更改按钮属性,使得按钮可点击从而获取到FLAG值 3.解题过程: 进入系统给的做题链接 按钮上写着flag却不能被点击,用F12打开浏览器的开发者工具 看到按钮被设置了disabled属性,我们将其去掉 去掉后,发现按钮可被点击...
XCTF-web-新手区题目
Lorezon的博客
11-04 989
自我总结用 一:view_source 一般都是先看源码。 自己就出来了。 二:get_post 用hackbar 继续 完成。 三:robots 进去发现空白,什么都没有。根据题目robots,那就来查看robots协议: 再访问 f1ag_1s_h3re.php 完成。 四:backup 先来看常见的文件名后缀:常见的备份文件后缀名有.git、.svn、.swp、.~、.bak、.bash_...
adworld.xctf-web-新手练习区刷题
BROTHERYY的博客
05-07 1041
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
攻防世界XCTF—web入门题知识点、进阶提高题Writeup
AugenStern的博客
08-21 869
WriteUpXCTF-Web新手入门区view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶区 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统和
xctf平台web答题笔记
qq_42874910的博客
09-11 446
web答题笔记view_sourceget_postrobotsbackupcookiedisabled_buttonsimple_jsweak_authwebshellcommand_executionsimple_php view_source 无法右键查看源码,使用f12查看源码 get_post 这里我使用firefox的插件hackbar 首先要求get方式提交值为1的a变量,默认情况...
灰色的不能点的按钮克星
08-05
你有个不能点的灰色按钮没?用灰色按钮克星就可以解决这个问题了!
weak_auth 小宁写了一个登陆验证页面,随手就设了一个密码。
热门推荐
热爱编程的菜鸟
03-28 1万+
1.随便输入下用户名和密码,提示要用admin用户登入,然后跳转到了check.php,查看下源代 用burpsuite截下登录的数据包,把数据包发送到intruder爆破 2.设置爆破点为password 3.加载字典 4.开始攻击,查看响应包列表,发现密码为123456时,响应包的长度和别的不一样. 5.点进去查看响应包,获得flag ...
攻防世界WEB题练习
ing_end的博客
10-30 1193
1.题目描述:X老师小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 法一 按F12查看源代码。 法二 按ctrl+U查看源代码。 2.题目描述:X老师上课了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 首先介绍Robots协议:robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索...
XCTF-WEB练习区-006-weak_auth
weixin_42986599的博客
03-27 2192
006-weak_auth 题目描述 小宁写了一个登陆验证页面,随手就设了一个密码。 解题思路 随便输点东西,提示需要以用户admin来登入 随便数个密码进去,它提示密码错误,按下f12,发现有个使用字典的提示 此题需要使用到工具,burpsuite。我使用了kali虚拟机里自带的免费社区版。推荐大家直接去burpsuite官网跟着它的建议入门教程过一下,了解一下基础用法。 输入admin点击登录,查看网络包,右键 copy to intruder,点击intruder-position,把
攻防世界 web新手练习区题解 上
weixin_46330722的博客
10-29 1381
攻防世界 web新手练习区题解 上view_sourcerobots前置知识-robots协议解题backupcookiedisabled_buttonweak_auth view_source 题目描述:X老师小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 从题目描述就知道是让我们查看网页源代码,但是又说鼠标右键坏了,那么就可以f12一件查看源码 成功拿到flag robots 题目描述:X老师上课了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
XCTF攻防世界练习区-web题-disabled_button
果冻先生的专栏
09-19 1713
0x06 disabled button 【题目描述】 X老师今天上课前端知识,然后给了大家一个不能按的按钮小宁惊奇发现这个按钮按不下去,到底怎么才能按下去呢? 【目标】 了解前端知识。有一些不可用属性,如:disabled,借助开发者工具可以删除这些属性,从而让其变得可用。 【解题思路】 这题也太简单了吧。 直接查看元素,删除disabled就可以了。 更多更...
【CTF Web】XCTF GFSJ0482 weak_auth Writeup(弱口令+密码爆破)
HEX9CF的技术博客
05-05 323
小宁写了一个登陆验证页面,随手就设了一个密码。
pure_color xctf
07-16
### 回答1: pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值