攻防世界WEB入门

最新推荐文章于 2024-09-27 10:01:56 发布
最新推荐文章于 2024-09-27 10:01:56 发布
阅读量221 收藏
点赞数
分类专栏: CTFWP 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45808659/article/details/105754327
版权

1.view_source

X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

WP:按F12即可在elements中看到flag

2.robots

X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

WP:在地址栏后输入**/robots.txt**,可得到一个php文件,在原地址后加上此文件就可查看flag

3.backup

X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!

WP:根据提示可猜测备份文件为bak,所以在地址栏后输入/index.php.bak,下载bak文件后用记事本打开即可获得flag

4.COOKIE

X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?’

WP:根据提示cookie,F12后CTRL+R查看cookie,发现一个cookie.php,在地址栏后加上/cookie.php得到另一提示 see the response F12后Ctrl+R在header中得到flag

5.disabled-button

X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

WP:打开场景后发现按钮点不动,F12查看源码,看到input,将里面的disabled更改为able即可得到flag

7.simple_php

小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
    echo $flag1;
}
if(is_numeric($b)){
    exit();
}
if($b>1234){
    echo $flag2;
}
?>

WP:
代码审计
在判断要求里可以得出要求a0又要a不等于0,看到两个等号,想到php弱等于,这里可以让a=admin,在“”判断是,admin会被转换成“0”,is_numeric这个函数要求b不能是数字,下面要求b大于1234,这里可以让b=2345%00,%00是空格的意思,这样b就不会被判断为数字,且大于1234,b满足条件,在地址栏中输入a=admin&b=1235%00,即可得到flag

8、get_post

根据提示进行操作,在地址栏中输入?a=1之后使用burp抓包修改post参数
在这里插入图片描述

9.xss_referer

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP
代理或者负载均衡服务器时才会添加该项 HTTP
Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的

根据提示伪造xff和referer
使用burp进行抓包
在这里插入图片描述

10、webshell

使用蚁剑
在这里插入图片描述

11.command_execution

在对话框中输入127.0.0.1 & find / -name “flag*”
在这里插入图片描述

得到flag目录
再次输入 127.0.0.1 & cat /home/flag.txt
得到flag

「已注销」
关注
专栏目录
攻防世界web练习区题目解答
weixin_46262057的博客
03-22 4895
xctf的web练习区题目解答。
ctf攻防世界web方向,基础题详解.1
weopenear的博客
04-24 677
本题在百度文库有 robots.txt 是搜索引擎中访问网站的时候要查看的第一个文件,一般而言 robots.txt 文件告诉蜘蛛软件在服务器上面什么文件是可以被查看的。第一题: 这题很简单,在_获取在线场景_后,点开题目网址,按住f12就可以查看网页源码,就可以容易看到flag,cv复制就可以获取flag。第二题: robots协议,一般ctf比赛中,会遇到很多自己不太会,不太懂的协议,一般会在网上查询一些,如下图所示,按照百度文库查看robots.txt 文件。
web攻防教程
05-16
一本关于web攻击和防御的文档,主要是针对linux系统中php和mysql攻击等
网络攻防WEB入门指南
热门推荐
qq_43678263的博客
03-31 1万+
网络攻防WEB入门指南(大佬绕路) 文章目录前言学习网络攻防该如何入门 前言 我对网络攻防的理解,分为比赛和实战两个部分,两者所学习的知识虽有共通之处,但还是有很大区别,我也在向实战的状态转换,不过二者入门所要掌握的知识差别不大。下面主要从网络攻防竞赛角度,也就是知名的CTF夺旗赛,来谈谈网络攻防知识如何入门。 学习网络攻防该如何入门 常规CTF比赛主要分为线上做题,以及线下AWD攻防(Attack With Defence),其中初赛往往为做题形式,决赛为AWD混战。做题形式又分为MISC(杂项)、
web安全攻防渗透测试实战指南_web安全攻防渗透测试实战指南,零基础入门到精通,收藏这一篇就够了
最新发布
2401_84618514的博客
09-27 1408
1. Nmap的基本Nmap + ip 6+ ipNmap -A 开启操作系统识别和版本识别功能– T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现-v 显示信息的级别,-vv显示更详细的信息192.168.1.1/24 扫描C段 192.168.11 -254 =上nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) 位置 : nmap安装目录/scripts/ 例如/usr/share/nmap/scripts脚本类型:ll /usr/sh
基础入门-web安全攻防
gaogzhen的博客
08-02 1446
文章目录1、环境搭建1.1、集成环境1.2、常用工具1.3、漏洞平台2、SQL注入判断3、与MqSQL注入相关的知识点3.1、常用查询语句3.2、常用函数3.3、注释 1、环境搭建 开始讲解网络完全之前,我们需要搭建好环境。这里只介绍初期我们需要用到的,包括集成环境,常用工具,漏洞平台等等。 1.1、集成环境 作为开始,我们建议是用集成环境搭建,不建议单独安装软件。啥是集成环境呢?如果你用的是windows环境,比如wamp,phpstudy等等,如果是Linux环境,比如LA/NMP 等等。 wamp:
攻防世界-Web 简单入门-No.1
pone2233的博客
07-11 1716
文章目录比赛地址view_sourceget_postrobotsbackupcookiedisabled_buttoncyberpeace{23286d5010dee15644e560dabf702614}weak_authcommand_executionsimple_phpxff_refererwebshellsimple_js 比赛地址 攻防世界 :https://adworld.xctf.org.cn/ view_source 按F12检查一下就找到了flag get_post 这个简单
攻防世界web新手练习区详细(小白入门
Firebasky的博客
05-06 3920
最近自己也做了一下攻防世界web题,自己作为一个小白也分享一下自己的感受理解和自己的思路。 (大佬绕过) 话不多说进入正题: 1、view_source 直接F12查看源代码 2、 robots 首先理解robots是什么? robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中搜索引擎网站的时候要查看的第一个文件。...
Web攻防基础入门.pdf
06-06
攻防基础
入门攻防世界-Web新手练习区题解
D_crab的博客
09-18 1419
攻防世界-Web新手练习区题解 第①题 view_source ⑴打开题目场景,提示’flag is not here’,于是右键查看源代码,发现右键不起作用。 (2)为了查看源代码,这时候就需要用到 火狐 浏览器里面的 hackbar 了。 (HackBar 是火狐浏览器的一个插件,具体的添加步骤某度上有) ▲在添加完HackBar之后如何打开它呢? 按 Fn +F12就可以打开啦! 打开 HackBar 之后用 查看器 查看源代码就发现了 flag,这道题就解决啦!恭喜恭喜 ...
攻防世界XCTF—web入门题知识点、进阶提高题Writeup
AugenStern的博客
08-21 926
WriteUpXCTF-Web新手入门区view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶区 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统和
攻防世界-web-新手练习区(3)
wyj_1216 House
05-24 687
0x01webshall 题目 writeup 方法一 使用中国菜刀 右键点击“添加” 添加成功后,双击进入 发现flag.txt,打开 得到flag~ 方法二 利用HackBar shell=print_r(scandir(getcwd())); 可见flga.txt 读取flag.txt 得到flag~ 知识点 1、中国菜刀的使用 2、print_r() scandir() getcwd(...
WEB安全攻防入门教程(非常详细),从零基础入门到精通,看完这一篇就够了
wangluoanquan111的博客
06-18 2874
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。最后的最后,祝每一位看到这里的朋友都能被世界善待,收获自己想要的offer。毕竟,有梦想谁都了不起!当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。可以轻松的找到,快去看看你的原创文章有没有被搬运吧。谁在复制粘贴,抄袭你的文章,通过谷歌。推荐指数:★★★★★。推荐指数:★★★★★。推荐指数:★★★★★。推荐指数:★★★★★。
攻防世界之simple_php(web简单)
my_name_is_sy的博客
05-26 2913
这一题考的是php语言中“==”的知识点,它仅仅表示数值想等。
攻防世界7-12题】题解和解题心得
weixin_51614272的博客
10-31 3462
攻防世界7-12题WP7.simple_php8.get_post1.GET和POST的区别:9.xff_referer10.webshell解法一11.command_execution12.simple_js 7.simple_php 题目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 审计PHP代码得 要输入a=abc&b=1235a 然后在a=abc&b=1235a前面添加一个? 就直接出flag 8.get_post 题目描述:X老师告诉小宁同学
WEB如何入门?各种渗透攻击如何入门
weixin_30680385的博客
10-12 168
……终于知道了 就是按这个学 http://www.runoob.com/ html又重新学的,之前那个按照W3school学习的不太好,里面很多东西都不是很好用… 应该不会再记笔记了 转载于:https://www.cnblogs.com/iamjuruo/p/7470943.html...
web安全攻防入门到"放弃"-记录
zhangge3663的博客
12-06 821
1.暴力破解攻击 连续性尝试 + 字典 + 自动化 一个有效的字典,可以大大的提高暴力破解的效率 a. 常用的账号密码(弱口令),比如常用用户名/密码TOP 500等。 b.互联网上被脱裤后账号密码(社工库),比如CSDN当年泄露的约600w用户信息。 c.使用指定的字符使用工具按照指定的规则进行排列组合算法生成的密码。 思路: a.是否要求用户设置了复杂的密码; b...
XCTF攻防世界Web12道简单题
高野02blog
11-30 487
0x00 准备 【内容】 在xctf官网注册账号,即可食用。 【目录】 目录 0x01 view-source2 0x02 get post3 0x03 robots4 0x04 backup6 0x05 Cookie7 0x06 disabled button8 0x07 simple js9 0x08 XFF Referer10 0x09 weak auth(弱口令密码)12 0x10 web shell15 0x11 command_execution16 0x12 simple php18 0xff
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值