攻防世界web初级题

最新推荐文章于 2022-05-05 14:01:26 发布
最新推荐文章于 2022-05-05 14:01:26 发布
阅读量369 收藏
点赞数
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44197252/article/details/104269244
版权

1.view_source

2.robots

3.backup

4.cookie

5.disabled_button

6.weak_auth

7.simple_php

8.get_post

9.xff_referer

10.webshell

11.command_excution

12.simple_js

1.view_source

ctrl+u查看源代码

出现以下界面:
得到flag得到flag。

2.robots

首先了解一下robots.txt的概念:

robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。

也就是说robots.txt中存在的文件名是我们作为用户不能访问的文件。而我们为了寻找flag,则就是遇见凡是不能访问的就去访问。

构建路径:在地址栏后写入/robots.txt,得到不允许访问的界面的文件名。在这里插入图片描述
访问:/f1ag_1s_h3re.php
得到flag。

3.backup

首先普及一个关于备份文件的概念:

文本编辑器和代码编辑器通常对正在编辑的文件会事先产生一个备份文件,这样做的目的是让出问题后可以恢复文件。这类备份文件通常和原文件在同一个目录下,而且文件的命名也和原文件类似。 例如:对一个名为index.php的文件进行编辑,自动创建的备份文件将会被命名成“index.php.bak”。其他的代码编辑器也是一样的,都有一套自己的备份规则。

在地址栏加入路径:/index.php.bak
得到一个后缀名为.bak的文件,用记事本打开后,直接查看内容,就可以得到flag。

4.cookie

首先普及一下cookie(有时也用cookies)的概念: 
类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息

session就是建立一个用户和服务器的会话。在这里,有爬虫基础应该更容易理解。可以将cookie理解为你在网页中登录时电脑中存储的账号和密码一类的东西。

按F12进入调试界面(在这里我用的是火狐浏览器):在这里插入图片描述点击网络,进入从cookie里面:在这里插入图片描述发现有一个cookie.php,于是进入cookie.php。

得到一个新页面:在这里插入图片描述界面提示查看消息头,得到flag。

5.disabled_button

打开界面:

在这里插入图片描述发现有一个flag的按钮,观看其js代码,得到一个可疑的disabled:
在这里插入图片描述将disa

最低0.47元/天 解锁文章
渺辰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
中国首届医院网络安全攻防演练Web部分真
07-13
中国首届医院网络安全攻防演练Web部分真,厦门站。一个WEB站点 源码。
攻防世界web练习区初级
weixin_52555162的博客
02-20 4039
最近开始学习刷CTF的目,在这里记录一下web小白的的刷记录,大佬请直接忽略~ 一、view_source 打开目地址 根据目提示可以知道这里应该是要我们直接查看源代码,我们查看源代码试试 找到flag,这种简单解法的送分一般只会作为CTF竞赛的签到 二、robots 根据页面提示,这里我们直接GET传参robots.txt 根据提示我们接着访问这个目录 得到flag: cyberpeace{b2d393affbdb4f3d26058...
攻防世界web初阶练习
m0_54082441的博客
05-05 853
1.view_source 目说鼠标右键不管用了,那我们直接就F12就可以了,笔记本可以用Fn+f12 答案如下: cyberpeace{049db330c1bb587642cOfceeb42155a} 2.robots 进入场景之后,我们会发现是个空白页面,根据目提示robots协议, 我们指导robots.txt是爬虫协议,这其实就是一个遍历目录,将列举出全部内容(前提是服务器存在robots.txt) 我们直接访问robots.txt这个文件,看看有什么内容 ...
攻防世界-WEB-初级(view_source)
qq_56187979的博客
04-09 456
目描述 view_source 难度系数: ⭐1.0 目来源: Cyberpeace-n3k0 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 目附件: 暂无 解思路 意中说在该页面中鼠标右击是被锁定了,所以我们右击鼠标是没有任何作用的,所以flag有可能在“检查元素”那里,我们可以试一下F12是否好使。 解过程 我们发现显示出的界面上只有'FLAG is not here',所以我们检查一下源代码,单击F12。 双击那行绿色字,复制下来FLAG。 最终
攻防世界——web新手
weixin_46204746的博客
02-10 835
攻防世界————web新手 1. robots 打开目场景,发现与robots协议有关,上网搜索robots协议的内容: Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。Robots协议的本质是网站和搜索引擎爬...
脚本小子攻防
08-01
首先,我们要明白“脚本小子”(Script Kiddie)是指那些利用现成的黑客工具,而非自行编写攻击代码的初级黑客。这些工具往往包括自动化扫描器、漏洞利用程序等。学习脚本攻防,就是研究如何防范和抵御这类攻击。 1...
网络安全攻防实验室方案计划.pdf
12-12
* 安全攻防实验室课程体系包括初级、 中级和高级三个级别,每个级别都有其特定的课程目标和教学内容。 五、安全攻防实验室实验项目 * 基本实验包括网络安全管理员、网络安全工程师和安全攻防实验三个部分,旨在...
教你拿webshell
10-23
通过"五、实战检测网站拿Webshell-新手教程"这个压缩包文件,新手可以系统地学习到Webshell的攻防技巧,了解其原理、利用方法以及防范策略。这不仅有助于提升网络安全意识,也为成为合格的网络安全专家打下坚实的...
Web漏洞实战教程(DVWA的使用和漏洞分析)
07-09
教你如何使用以及利用DVWA的漏洞,是个不错的用来钻研以及训练的平台,也是网站攻防的初级入门。
重磅-最新网络安全&渗透测试&HVV等学习资料合集(28份).zip
最新发布
03-23
web攻防之业务安全实战指南.pdf Android应用漏洞挖掘.pdf 搞定网络协议之网络安全面试.pdf 边界渗透中的小技巧.pdf 大规模分布式流量威胁分析与取证溯源.pptx 国内SRC漏洞挖掘的一些思路分享.pdf 红队视角下的防御...
攻防世界WEB目解析
qq_39607945的博客
08-29 1419
ics-05-攻防世界 链接:http://111.198.29.45:50775 考点:文件包含漏洞、preg_replace()函数/e漏洞 1、点击左侧栏,存在index.php页面,查看源代码发现herf=?page=index,判断存在文件包含漏洞。 LFI漏洞的黑盒判断方法:单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文...
基础木马实验
Goinhn
02-29 726
基础木马实验 使用大白鲨远程管理工具 实验环境 客户端:windows xp 服务端:windows server 2003 r2 本地攻击 启动大白鲨软件 配置程序 ip处设置为当前主机的ip地址 点击生成服务端: 可以对生成的服务端程序进行修改文件名和更换图标,使得更具有隐蔽性,生成之后在主机中进行点击出发木马程序: 客户端程序中出现该上线的主机,可以在客户端中进行一些列的操作,...
攻防世界 WEB 新手练习区 答(1-12解)
小哈里的博客
10-23 9037
序 传送门:https://adworld.xctf.org.cn/task/ 1、
CTF攻防世界web初级区详解
qq_62540010的博客
12-05 4252
最近几天刚刚接触了ctf,去尝试了一下攻防世界web区的新手篇目,以下解过程记录一下自己的学习体会与心得,如果哪里有错可以在评论区告诉我,我及时改正。 1.view_source 1.1获取场景后: 1.2根据目要求,我们需要查看网页源代码,打开方式一种是鼠标右键打开,一种是按F12键,目规定无法右键,所以我们按F12打开,如图: 1.3第二种解法:在其他网页打开源代码后把地址换成该网页地址,即view-source:后加上该网页地址,如图: 至此拿到flag,第一完成 2.robot
-攻防世界-web基础
oonoonoo的博客
02-16 827
simple_php 目分析: 代码审计: 发现代码中给出了两个条件,把flag拆分到两个条件中。 条件1: if($a==0 and $a){ echo $flag1; } 说明:参数a=0且a为真才能得到半个flag. 条件2: if(is_numeric($b)){ exit(); } 说明:is_numeric()函数可以参考https://www.runoob.com/php/ph...
攻防世界Web新手总结
热门推荐
weixin_43460822的博客
09-28 2万+
这一周我一直在攻防世界上做web新手,今天刚刚做完,特意写篇博客来做一下总结。下面就开始写我的解过程。 先把所有目贴出来 Web新手一共有12道,分别是 view_source get_post robots backup cookie disabled_button simple_js xff_referer weak_auth webshell command_execution ...
攻防世界web初级练习区(详解十二个
BING
11-15 2987
攻防世界web–新手练习区(详解十二个,萌新) 第一:view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解答: 打开网站显示: 目提示说查看源码,于是按F12,直接查看源码即可得到flag。 得到的flag: cyberpeace{31241edef8bb206ed17ff54f7ca6d111} 第二:robots 目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解答:
南京邮电大学网络攻防训练平台web(持续更新...)
守卫者安全
04-24 1499
1.签到 既然是签到,那就直接先查看源代码 2.md5 collision 打开目发现一段PHP代码 大概意思就是:将QNKCDZO的MD5加密后的内容赋值给变量md51,然后构建变量a,通过get方式传值,并将其md5加密的内容赋值给变量md52,如果a的值不是QNKCDZO,但是两个md5值相等的话,就得到flag。通过百度得到了跟QNKCDZO字符串md5值一样的字...
攻防世界web新手unserialize3
05-05
这道是一个 PHP 反序列化的目。 目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ``` error_reporting(0); highlight_file(__FILE__); class Show{ public $name; public $age; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值