Training-WWW-Robots
攻防世界(WEB)Training-WWW-Robots_-栀蓝-的博客-CSDN博客
进入61.147.171.105:56410/robots.txt查看文件,
然后发现,有一个禁止项目,进入这个项目61.147.171.105:56410/fl0g.php
总结
robots.txt 文件是一个文本文件,使用任何一个常见的文 本编辑器,比如 Windows 系统自带的 Notepad,就可以创 建和编辑它[1] 。robots.txt 是一个协议,而不是一个命令。 robots.txt 是搜索引擎中访问网站的时候要查看的第一个 文件。robots.txt 文件告诉蜘蛛程序在服务器上什么文件 是可以被查看的。 当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根 目录下是否存在 robots.txt,如果存在,搜索机器人就会 按照该文件中的内容来确定访问的范围;如果该文件不存 在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保 护的页面。百度官方建议,仅当您的网站包含不希望被搜 索引擎收录的内容时,才需要使用 robots.txt 文件。如果 您希望搜索引擎收录网站上所有内容,请勿建立 robots.txt 文件。 如果将网站视为酒店里的一个房间,robots.txt 就是主人 在房间门口悬挂的“请勿打扰”或“欢迎打扫”的提示牌。这 个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪 些房间因为存放贵重物品,或可能涉及住户及访客的隐私 而不对搜索引擎开放。但 robots.txt 不是命令,也不是防 火墙,如同守门人无法阻止窃贼等恶意闯入者。 ---来源百度百科
PHP2
【phps 文件就是 php 的源代码文件,通常用于提供给用户(访问者)直接通过 Web 浏览器 查看 php 代码的内容。 因为用户无法直接通过 Web 浏览器“看到”php 文件的内容,所以需要用 phps 文件代替。]
$_GET[id] = urldecode($_GET[id]);//发现需要url编码,但是会被解析出来,所以需要两次编码admin 或者采用大佬的一种办法:构造 payload : http://111.198.29.45:48961/?id=%2561dmin %25 通过 url 栏变成%,%61 通过 urldecode 变成 a,配合成 id=admin
总结
利用御剑等工具,查看目录有哪些,发现index.php可以登录,但是,登上去发现什么都没,可是查阅资料发现phps时php的源代码,且可以被用户发现。进而进入下一阶段,阅读源码,发现get中会将admin进行url解码,所以我们需要对于admin进行两次url加密,成功获取。
ics-06
使用抓包工具,进行暴破
或者
cyberpeace{54e2f419990eb78c31bd5bf93c48b8c4}
总结
暴破的使用
view_source
view_source xctf 攻防世界 web新手练习区_熊未泯的博客-CSDN博客
1.用firefox打开页面,摁下F12,打开查看器可以得到flag
2.或用chrome打开页面,摁下F12,在Elements栏可以得到flag
总结
view-source是一种协议,早期基本上每个浏览器都支持这个协议。后来Microsoft考虑安全性,对于WindowsXP pack2以及更高版本以后IE就不再支持此协议。但是这个方法在FireFox和Chrome浏览器都还可以使用。 如果要在IE下查看源代码,只能使用查看中的"查看源代码"命令.
右击发送到repeater
第二种方法 hackbar
总结
分清楚GET和POST,GET改变URL;POST在HTTP的消息中进行修改
robots
进来后,一片空白,那就是试试robots.txt
找到一个文件,添加地址,找到
总结
和第一个一样,robots.txt的使用
backup
攻防世界--WEB题之backup_LT.XQ的博客-CSDN博客
| 常见的备份文件后缀名:
|
第二种方法 目录遍历
扫一扫
1526
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
