记录攻防世界web新手区

最新推荐文章于 2024-01-25 18:53:30 发布
最新推荐文章于 2024-01-25 18:53:30 发布
阅读量188 收藏
点赞数
分类专栏: ctf web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53087690/article/details/111879466
版权
ctf 同时被 2 个专栏收录
12 篇文章 0 订阅
订阅专栏
web
1 篇文章 0 订阅
订阅专栏

文章目录

1.view_source

在这里插入图片描述
获取在线场景
在这里插入图片描述
不能使用鼠标右键查看源码
使用快捷键 Ctrl+U来查看源码 即可得到flag
在这里插入图片描述
总结
查看源码的方法
1.访问地址后,鼠标右键查看源码
2.快捷键Ctrl+U
3.view-source指令
使用方法:在浏览器地址栏中输入view-source:地址
 回车即可看到网页的源代码了。
4.JavaScript法
  这种方法似乎也不是通用的
  使用方法:在浏览器地址栏中输入 javascript:
5.通过vbscript方法
6.通过后台语言asp,php等

robots

在这里插入图片描述
打开后一片空白
在这里插入图片描述
百度了 robots
参考资料https://baike.baidu.com/item/Robots%E5%8D%8F%E8%AE%AE
所以访问 robots.txt 得到flag
在这里插入图片描述
总结
robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.txt,或者使用robots元数据(Metadata,又称元数据)。
robots协议并不是一个规范,而只是约定俗成的,所以并不能保证网站的隐私。

backup

在这里插入图片描述
获取在线场景
在这里插入图片描述
百度后得知:
==如果网站存在备份文件,常见的备份文件后缀名有:“.git” 、“.svn”、“ .swp”“.~”、“.bak”、“.bash_history”、“.bkf” ==

尝试在index.php依次输入常见的文件备份扩展名
加上index.php.bak时提示下载文件,用txt打开得到flag
在这里插入图片描述

cookie

在这里插入图片描述
获取在线场景
在这里插入图片描述
百度一下cookie
参考资料https://baike.so.com/doc/3766187-3956334.html
浏览器输入/cookie.php 访问:
在这里插入图片描述
络里面查看http response
F12>网络>HTML>信息头>找到flag
在这里插入图片描述
总结
Cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明。
Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用cookie)。Cookie名称和值可以由服务器端开发自己定义,对于JSP而言也可以直接写入jsessionid,这样服务器可以知道该用户是否合法用户以及是否需要重新登录等。

disabled_button

在这里插入图片描述
获取在线场景
在这里插入图片描述
F12查看源码
发现了disabled在这里插入图片描述
把它删掉,即可得到flag
在这里插入图片描述

weak_auth

在这里插入图片描述
获取在线场景
发现一个登录页面
在这里插入图片描述
随便输入一个用户名和密码,发现用户名是admin
在这里插入图片描述
密码尝试输入123456 没想到就得到了flag
在这里插入图片描述
如果碰到不是这么简单的密码,可以通过burpsuite暴力破解

总结
每道题都可以学到一个知识点,我们刷完题之后要及时总结,将知识消化。

-Nixiak
关注
专栏目录
cookie介绍及使用
学习随笔
04-07 1万+
cookie是什么? 是由服务器端生成,发送给User-Agent(一般指浏览器),浏览器将cookie以键值对的形式保存到某个目录下的文本文件内。下次请求该网站时就把cookie发送回服务器。(cookie就是一个小文件,浏览器对其大小一般限制在4k,用来记录一些信息(一般用作标识)) 为什么有cookie? web应用程序是使用Http协议传输数据的,而Http协议是无状态的,一旦数据交换...
攻防世界Web新手部分解
weixin_51334923的博客
10-20 598
好,鸽了这么旧,学业繁忙的我就出一篇简单的攻防世界Web新手的WriteUp吧,顺带作为自己的复习笔记。 攻防世界 (xctf.org.cn) 转存失败重新上传取消 攻防世界,一大CTFers的网站,上面有在线靶场以及竞赛等资源,推荐初学者上去学习。 我们今天看一下Web新手的一些WP吧! 1.view_source 基础的第一关,却是后面无数关的基础。 作为一个Web手,查看网页源代码是必须会的一件事情!! 点进网页一看: flag不在这里,那应该在源代码里。
HTTP-服务器端CooKie与浏览器端Cookie
热门推荐
柒青衿的博客
06-25 5万+
Cookie的来源由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。 Cookie的处理分为: 服务器像客户端发送cookie 浏览器将cookie保存 之后每次http请求浏览器都会将cookie发送
攻防世界web新手题解
陶的博客
09-13 2776
第一题 view_source 点击获取在线场景后等它加载完毕后点击URL进入实验环境: 查看源代码,右键不可以用。所以按F12,直接查看源码
记录攻防世界WEB新手-004
qq_53498910的博客
12-13 196
题目来源: Cyberpeace-n3k0 题目描述:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗? 我们打开在线场景,发现和上一题类似,都是问你知道什么吗?有了上一题的经验,我们先输入cookie,哎,发现它显示的是 感觉是在提示着我们什么,话不多说,直接翻译,这句话翻译过来呢就是查看http响应。按下F12,找到网络,刷新一下,找到下面这个 点进去,便能在消息头找到我们要的flag了 总结:Cookie是当你浏览某网站时,网站存储在你机器上的一个小文本文件,它记录
攻防世界WEB新手训练
最新发布
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
01-25 1422
到了这步,其实仅仅是把这个网页所谓的“bug”给理清楚了,但似乎对解题依旧没什么进展?所以还是得换换思路,多写几道ctf题目其实不难总结出经验,所谓的。
攻防世界web新手easyphp题解writeup
weixin_46906325的博客
10-03 7699
攻防世界web新手easyphp题解
攻防世界WEB新手
luckysquirrel的博客
08-07 385
攻防世界WEB新手 小菜鸡,记录ctf题,欢迎大家评论,提建议 这里写自定义目录标题) 1.view_source F12 2.get_post Get 在网页后面输入index.php?a=1; 然后使用firefox 插件 Hackerbar, 输入b=2 post,execute,得到结果 3.robots 根据提示在网址后面输入/robots.txt (爬虫协议) robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可
攻防世界web新手
lceFIre的博客
08-31 776
攻防世界web新手第一题view_source第二题get_post第三题robots第四题Backup第五题cookie第六题disabled_button第七题simple_js第八题xff_referer第九题weak_auth第十题webshell第十一题command_execution第十二题simple_php 第一题view_source f12查看源码 第二题get_post ...
攻防世界 web新手练习WP(超新新手!)
寻同学的博客
08-26 1044
攻防世界 web新手练习WP(超新新新手!)(持续更新中) 看了看自己的博客,发现最近几年学什么发什么博客都是半途而废????,怎么肥四哇,给自己一个差差差评。 最近工作需要,又开始了新的一波学习。开始在攻防世界上面刷一些最简单最基础的题目,在这边记录一下吧,希望这一次的学习和记录能多坚持一段时间鸭~~ 以下为正文: 1.view_source 打开题目场景链接后如下图 按F12查看源代码,如下图 可以直接看到flag为cyberpeace{bcfce52ec705e8a28365b795cbd93
攻防世界 WEB 新手练习 writeup 007-012
ChaoYue_miku的博客
09-02 1357
007 simple_php 难度系数:1.0 题目来源: Cyberpeace-n3k0 题目描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 0x01 打开网页 有一段PHP源代码 0x02 进行代码审计 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numer
攻防世界-web-新手练习
m0_60721476的博客
08-08 103
1.view_source X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 直接 ctrl+u查看源代码即得flag(包括括号) 2.robots X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 Robots协议,网络爬虫排除标准(也称为爬虫协议、机器人协议等):告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。 写法:放在网站的根目录下,只能控制相同的协议,端口,站点的网页抓取 例如: User-agent:G
ctf web5 练习_CTF-攻防世界-WEB新手练习 Writeup(12题入门题)
weixin_33603656的博客
01-15 3595
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
攻防世界MISC新手
qq_53087690的博客
12-18 1271
SimpleRAR **题目描述:**菜狗最近学会了拼图,这是他刚拼好的,可是却搞错了一块(ps:双图层) 注题目已给出提示:本题要用到PS 打开附件只能看到一个 flag.txt 打开 我就知道不会那么简单… 我们需要用到一个工具WinRAR 附上下载链接: https://www.onlinedown.net/search?searchsid=1&searchname=WinRAR&button= 用WinRAR打开附件后 发现RAR里面是有一个图片的 txt文件结束之后就是png
BUUCTF-Reverse
qq_53087690的博客
09-10 928
文章目录不一样的flagSimpleRevJava逆向解密[GXYCTF2019]luck_guy 不一样的flag ida打开,进入main函数 分析发现是个迷宫题,要从*走到#,中间碰到1就结束 1 up 2 down 3 left 4 right 所以flag: flag{222441144222} SimpleRev ida64打开,进入main函数 主函数仅仅是判断我们输入的是否为 d/D 如果是,则进去Decry()函数,否则退出 跟进Decry()函数 strcpy()函数是将key1
BUUCTF-Reverse1~8
qq_53087690的博客
09-07 812
easyre 下载附件,差壳,ida64打开就能看到flag了 reverse1 差壳,ida64打开,Shift+F12查看字符串,发现一个疑似flag的字符串 进入这个函数 找到代码关键部分,发现flag将o转为了0 所以flag: flag{hell0_w0rld} reverse2 ida64打开,进去main函数,找到代码关键部分 把flag字符串中的 ‘i’ 和 'r’都变为1 flag{hack1ng_fo1_fun} 内涵的软件 ida打开.exe,Shift+F12查看字符串
记录攻防世界REVERSE新手-1
qq_53087690的博客
01-14 582
文章目录1.logmein2.insanity3.getitre1标题 1.logmein 题目描述: 下载附件,将其转换为.exe,查壳发现是一个64位的ELF文件 用IDA打开,找到main函数,F5查看伪代码 分析代码的运算逻辑: 先是将指定字符串复制到v8; s是用户输入的字符串 先比较其与v8的长度,如果长度比v8小,就进入sub_4007c0函数 可以看到输出了:Incorrect password! 如果长度大于或等于v8则进入下面的循环 如果 i >= strlen(v8) 则
记录攻防世界CRYPTO新手
qq_53087690的博客
12-13 492
1.base64 **题目描述:**元宵节灯谜是一种古老的传统民间观灯猜谜的习俗。 因为谜语能启迪智慧又饶有兴趣,灯谜增添节日气氛,是一项很有趣的活动。 你也很喜欢这个游戏,这不,今年元宵节,心里有个黑客梦的你,约上你青梅竹马的好伙伴小鱼, 来到了cyberpeace的攻防世界猜谜大会,也想着一展身手。 你们一起来到了小孩子叽叽喳喳吵吵闹闹的地方,你俩抬头一看,上面的大红灯笼上写着一些奇奇怪怪的 字符串,小鱼正纳闷呢,你神秘一笑,我知道这是什么了。(一大堆废话) 打开附件: 用工具解密就得到了flag
CTFweb新手攻防解题心得
"CTFweb新手详解 - 攻防世界的初学者挑战与解题心得" 在网络安全领域,CTF(Capture The Flag)是一种常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等多个方面。这篇内容主要针对的是CTF中的Web安全部分,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值