《攻防世界》新手区Web（一）

前言

最近发现自己在安全方面确实很薄弱，害，说来惭愧，作为一名信安学子，对于CTF的兴趣却十分有限。与自己的内心经过五分钟的漫长斗争之后，决定还是要好好做安全的，于是最近开始了CTF之旅，将自己的一些踩坑经验分享出来。

本篇文章主要是对攻防世界的新手区Web题的wp，一些题目可能存在一题多解，分享出来的是本人在做题时的做法。

参考：https://blog.csdn.net/weixin_43460822/article/details/101596267

题目以及解题过程

1.view_source

题目描述：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。

wp:
方法1：从题目找答案
仔细读题，view_source，打开网页按F12查看网页源代码，在Source里面就可以找到flag啦：

方法二：使用Burpsuite抓包
设置好代理之后，直接使用Burpsuite进行抓包：
（ps:设置代理可以使用火狐的FoxyProxy插件，具体可以参考本人前面文章开头部分：https://blog.csdn.net/qq_45746876/article/details/109114228）

两种方法都可以得到本题的flag：

cyberpeace{7f26e057a08a433d0147937622d87676}

2.robots

题目描述：X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。

既然小宁睡着啦，哪咱们就带他了解一波Robots协议吧：

robots协议也叫robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的漫游器获取的，哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的，所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为，那么可以将自定的设置合并到根目录下的robots.txt，或者使用robots元数据（Metadata，又称元数据）。

wp：
看上面文字加粗部分的内容，robots放置于网站根目录下,那咱们直接查看一波robots.txt：


就可以得出本题flag：cyberpeace{c895a204571e73975169c5a09bc2f91f}

3.buckup

题目描述：X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！
wp:
题目给出条件：

直接百度安排一波，了解到index.php的常用备份文件为.bak后缀，所以咱们可以在Url后面加上/index.php.bak，将备份文件下载下来，然后使用记事本打开，既可找到flag。
ps:下图为下载备份文件的页面，因为之前在做题时已经打开过了，第二次只是为了演示。


flag: Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

4.cookie

题目描述：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？

先给小宁顺便给自己解答一波cookie：

Cookie，有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息 。并不是夹心饼干嗷~

wp:
先用Burpsuite查看网址的Cookie值：

从图中可以看到Cookie藏在 cookie.php里面，关闭Burpsuite，在Url后面加上cookie.php，使用谷歌浏览器按F12查看网页源代码：

但是好像又看不了里面的东西（可能是我的打开方式不对），刚好这个时候走过来一个无敌猛人，跟我说在Firefox里面可以操作，于是就走上了另一条路：

看上图可以发现重新载入网页可以查看cookie.php：

就可以得到本题的flag: cyberpeace{7c07f07d5ef32f27e57ab7cdf68d40f9}

5.disabled_button

题目描述：X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？

wp:
打开该网址：

可以看到这个按钮因为某种原因按不下去，于是，遇事不决按F12，查看网页源码：

但是看得不是很懂，稍微猜测了一下问题在19行，但是不知道如何下手，于是偷偷瞄了参考文章的wp（真的就亿秒，我还点赞了）。才知道是 disabled的问题：

disabled 属性规定应该禁用 input 元素。
被禁用的 input 元素既不可用，也不可点击。可以设置 disabled 属性，直到满足某bai些其他的条件为止（比如选择了一个复选框等等）。然后，就需要通过 JavaScript 来删除 disabled 值，将 input 元素的值切换为可用。

将disabled删除掉，按下按钮flag就出来啦：

flag: cyberpeace{bad637f161ae5dc5f659f264d2c941d4}

6.weak_auth

题目描述：小宁写了一个登陆验证页面，随手就设了一个密码。
wp:
先进入该网址，可以看到如下页面：

难顶，用户名也母鸡，密码更不知道了。但是点击login按钮，可以看到提示信息：

就可以知道用户名是admin啦。由于题目中说小宁随手设置了一个密码，猜测肯能密码是一下弱密码，于是百度弱口令top100,试完了password之后又试了123456，就把密码给试出来了……（当然纯属本人瞎猜）。
于是Mr.猛人又来了，指正了一波：这波只是运气好，下次可能就做不出来了。
转念一想，确实也是，于是又尝试了Burpsuite暴力破解：
得出了小宁的密码是 123456

破解过程:
先在该网址输入好用户名admin和一个随便输的密码（例如：123），像这样：

然后打开代理，使用Burpsuite抓包,然后点击Send to intruder:

在Intruder下Positions：

先将系统默认选中的东西全部去除（图中箭头1所指），然后选中咱们要破解的内容（本题为password）（图中2所指），然后点击添加（图3箭头所指）

然后再点击Positions右边的Payloads，选择字典。可以选择系统自带的（箭头2所指），也可以选择自己平时收集的字典（箭头1所指）。

偷偷bb一下：系统自带的字典有点憨哈哈，还是建议使用自己的。我也是找Mr.猛人拿的，然后开始破解，结果如本题第二张图片。

小结：

感谢一下参考文章的作者，wp写的很棒。再感谢一波猛人（博客主页：https://blog.csdn.net/Forces_），他是真的无敌哈哈。

好啦，最后来一波毒鸡汤：
没有比人心还难的CTF，克服自己不想打CTF的念头，其实在靶场解题的时候还是很快乐的，打CTF并不是为了有什么经验，只是为了让自己在安全的道路上更进一步，冲冲冲~