XCTF_Web_新手练习区:disabled_button

最新推荐文章于 2023-03-14 13:26:45 发布
最新推荐文章于 2023-03-14 13:26:45 发布
阅读量2.9k 收藏 10
点赞数 12
分类专栏: CTF刷题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617034/article/details/90678997
版权

第六题:disabled_button

在这里插入图片描述

目标:

了解前端知识

Writeup

hackbar
浏览器开发者工具

Writeup

这里共有两种方法:

方法一:
  • 打开网址,发现flag按钮无法点击,此时我们F12查看源代码
    在这里插入图片描述
  • 删除disabled=" ",发现页面有了变化,flag可以点击了!!!
    在这里插入图片描述
  • 然后我们点击flag按钮,出现了flag值!!!
    在这里插入图片描述
方法二:
  • 也可以手动POST数据,首先我们观察到表单的提交方式为POST,于是我们提交POST数据
    在这里插入图片描述

为什么要这么提交呢?

首先我们分析一下这里核心的html代码:

<h3>一个不能按的按钮</h3>
<form action="" method="post">
<input disabled="" class="btn btn-default" style="height:50px;width:200px;" type="submit" value="flag" name="auth">
</form>
  • action: 是规定此表单就交给那个文件执行,这里为空,咱不管它;
  • <form>标签用于为用户输入创建 HTML 表单;
  • method表示请求方法,这里是POST请求;
  • <input>标签用于搜集用户信息;
  • disabled:disabled属性规定应该禁用input元素,这里就是禁用包含它的input元素,这也就是点击不了flag按钮的原因,都禁用input标签了,你还想点?
  • class:class属性规定元素的类名(classname),大多数时候用于指向样式表中的类(class)
  • btn btn-default是默认按钮的样式(它有很多种样式,默认样式是其中的一种,其实就是按钮的形状样式变化,参考(https://www.runoob.com/bootstrap/bootstrap-buttons.html)
  • style:style属性规定元素的行内样式(inline style)
  • height:50px;width:200px;这里是规定了高和宽的像素
  • type:type属性规定input元素的类型,可以参考(http://www.w3school.com.cn/tags/att_input_type.asp)
  • submit:定义提交按钮,提交按钮会把表单数据发送到服务器
  • value:value属性为input元素设定值,参考(http://www.w3school.com.cn/tags/att_input_value.asp)
    对于不同的输入类型,value属性的用法也不同:
type="button", "reset", "submit" - 定义按钮上的显示的文本
type="text", "password", "hidden" - 定义输入字段的初始值
type="checkbox", "radio", "image" - 定义与输入相关联的值

  • flag:value的值,定义按钮上显示的文本为flag

  • name:name属性规定input元素的名称
    name属性用于对提交到服务器后的表单数据进行标识,或者在客户端通过JavaScript引用表单数据。
    注释:只有设置了name属性的表单元素才能在提交表单时传递它们的值
    也就是表单元素中没有name属性,就不能将表单的值传递到服务器
    在这个题目里,Name属性值为auth,也就是这个表单数据传输到服务器时,是以auth=表单数据进行传输的。通俗点讲就是,服务器端接受的代码是这样的<?php echo $_POST["auth"]; ?>,接收表单传来的值,php中的auth是$_POST的变量;所以只要记住,表单中name属性值的名称就是服务器端$_POST的变量名

  • auth:服务器端接收数据所使用的变量名

方法二的总结:这条题目最后就可以理解为一个POST提交表单,disabled使得input失效,不能点击按钮,按钮的名字叫做flag,服务器接收的变量名为auth,所以我们提交一个POST请求,auth=flag。
这里我不能理解的是,我提交auth=1,和auth=2等等除了flag之外的都不能成功获得数据,唯独auth=flag可以,为什么呢?
我这里的猜想是可能题目设定的就是你提交flag才能查询到数据,就好比你在一个邮箱登陆页面输入你的邮箱与密码一样,如果数据库里没有你的邮箱和密码,你输入怎么可能获得数据呢?因此,这道题的数据库里没有auth=1或auth=2等等的数据。

小插曲:一开始我还在纠结是不是因为value的值,差点把我搞混了,value的值flag在type=submit下完全就是按钮的名称,仅此而已,和它有啥关系???它作为按钮名是不可能在后端数据库里被查询的,除非…数据库里有个数值和按钮名(flag)重名。最后想来,还真让我哭笑不得~~可能就是出题人想让你POST请求auth=flag,弄个以flag为名的按钮提示你吧。

1stPeak
关注
专栏目录
disabled_button
weixin_46168073的博客
11-19 509
直接看题目 然后干他 这里说flag在按钮上,但是我们就是按不了这个flag 那直接看HTML呗 可以看到它这里有个搞鬼的东东。 一搜,可以知道这个东西禁止让你输入 你不让我输入,我就给你删了呗。 然后我们可以点flag,一点,flag就出来了。 提交。 ...
攻防世界web新手练习writeup(上)
守卫者安全
11-26 470
第一题:view_source 顾名思义就是查看源码 打开链接发现确实如题目描述那样鼠标右键不能用了。所以通过快捷键Ctrl +shift + i 查看源代码。发现flag。 第二题:get_post HTTP通常使用的两种请求方式就是get和post 打开链接果然跟这个有关 既然要用GET方式,就在url后面构造参数a并赋值为1试试吧 就知道套路没这么...
5.XCTF disabled_button
山兔的博客
09-16 246
打开网站,给了我们一个按钮,点击,还真不行。 F12,没看出什么东西。 想一想会不会是网页链接之类的,跑字典,两个都没跑出来。 google搜索一下,disabled_buttondisabled 属性是一个 boolean(布尔) 属性, 如果使用该属性,则会禁用按钮, 被禁用的按钮是无法使用和无法点击的。 可以对 disabled 属性进行设置,使用户在满足某些条件时(比如选中复选框,等等)才能点击按钮。然后,可使用 JavaScript 来删除 disabled 属性,使该按钮变为可用的状态。 悟
攻防世界(WEB) disabled_button
qq_54929891的博客
08-23 972
根据题目描述,可以把思维放在html上,重点是看网页代码 进去后发现flag不能触发,说明肯定有一个属性禁止了这个button按钮,打开F12查看 在input标签中看见一个disabled属性,可以猜想是disabled这个属性禁止了button的点击,根据英文意思来猜也是失去能力的;可以查阅一下关于input标签中disabled属性的功能 定义和用法 disabled 属性规定应该禁用 input 元素。 被禁用的 input 元素既不可用,也不可点击。可以设置 disabled...
XCTF disabled_button
weixin_30568591的博客
07-10 186
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢? 发现确实点不开,尝试修改代码,使用F12 <html><head> <meta charset="UTF-8"> <title>一个不能按的按钮</title> &lt...
XCTF_A_物料清单标准功能培训.pptx
10-11
XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
XCTF_A_应收管理标准功能培训.pptx
10-11
XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_成本管理标准功能培训.pptx
09-25
### XCTF_A_成本管理标准功能培训知识点梳理 #### 一、成本管理概述 - **培训目的**: 介绍Oracle标准功能中的成本管理模块,帮助企业更好地理解成本管理的重要性,并掌握其核心功能。 - **成本管理作用**: 成本管理...
XCTF_A_应付管理标准功能培训.pptx
10-11
XCTF_A_应付管理标准功能培训.pptx
XCTF篇:Web (新手练习)
小明师傅博客
06-09 539
1.view_source F12调出,后复制 2.robots 这里打开robots.txt 可以查看不让爬虫爬的目录 3.backup 备份文件,后缀加 .bak 下载下来 4.cookie f12,查看加载的cookie,发现在文件里 访问查看 5.disabled_button f12把disabled删了 6.weak_auth bp爆破 7.simple_php 解释 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类.
XCTF WEB disabled_button
无限迭代中......
06-30 417
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5066 题解: 修改HTML代码 然后按钮可以点击
攻防世界之disabled_buttonweb简单)
my_name_is_sy的博客
05-26 1170
无法点击的按钮,无法右键,密码文本啥的都可以直接f12,然后修改属性,就离谱!
DISABLE BUTTON
zbbjya的博客
12-17 410
打开界面我们会看到这样一个页面 按F12检查其网页源代码 然后我们会发现这里出现了一个disable的按钮 在HTML的《标签》属性中其disabled 是规定禁用该按钮 所以将其删除以后就可以按动按钮 ...
攻防世界——新手——disabled_button
weixin_45864041的博客
08-17 174
打开题目。 按钮无法点击,于是我们直接F12,查看前端代码。 看到一个disabled属性,我们猜测,它与按钮无法点击有关。在W3Cschool中查询可得。 这验证了我们的猜测,将该属性删除,按钮就可以点击了。 ...
攻防世界-WEBdisabled_button
wlw1275178332的博客
03-14 520
首先看题目描述提到前端知识,联想到HTML,再提示一个不能按的按钮,结合题目名button很明显是涉及到HTML button标签知识,最后通过disabled提示应该是按钮被禁用了。很明显在body中我们可以看见运用了button标签,但是存在disabled导致button被禁用无法发挥作用,那只要我们编辑文件将disabled=“”删除即可。提示也给的很明显,只要能点击flag按钮,应该就能获取到flag。现在按钮就可以点击了,点击flag获取flag。那我们也可以通过post请求直接获取flag。
攻防世界 disabled_button
zhongjl666的博客
09-30 506
攻防世界 disabled_button
pure_color xctf
最新发布
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值