攻防世界-WEB-初级(view_source)

已于 2022-04-10 16:48:11 修改
阅读量446 收藏
点赞数 1
分类专栏: # 攻防世界-WEB 文章标签: 安全 网络安全 web安全
于 2022-04-09 17:22:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56187979/article/details/124063729
版权

题目描述

view_source
难度系数: ⭐1.0
题目来源: Cyberpeace-n3k0
题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
题目附件: 暂无

解题思路

题意中说在该页面中鼠标右击是被锁定了,所以我们右击鼠标是没有任何作用的,所以flag有可能在“检查元素”那里,我们可以试一下F12是否好使。

解题过程

在这里插入图片描述
我们发现显示出的界面上只有'FLAG is not here',所以我们检查一下源代码,单击F12。
在这里插入图片描述

双击那行绿色字,复制下来FLAG。

最终结果

FLAG:cyberpeace{a63bcaed7eec50cb3bf7da29e3544066}

张耘嘉
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界目练习——Web引导模式(一)
qq_48550824的博客
10-09 281
真正的检验应该只有后面判断是否为jpg/png文件,而且这个属于前端校验,就是只在前端上传页面进行检测,就算检测不通过文件也会被存储,只是会在前端将按钮灰掉不让上传,因此也可以通过修改前端代码的方式来取消文件上传后缀的限制。(又去搜了搜别人的解析思考了一下,这个replace应该并不是针对文件后缀的过滤吧,可能只是为了便于数据处理而进行的替换,并不是对上传的文件名的限制)Referer是从某个A网站显示的B网站的链接来访问B网站时,访问B网站的请求包里的Referer就是A网站的域名。
攻防世界web练习区初级
weixin_52555162的博客
02-20 4006
最近开始学习刷CTF的目,在这里记录一下web小白的的刷记录,大佬请直接忽略~ 一、view_source 打开目地址 根据目提示可以知道这里应该是要我们直接查看源代码,我们查看源代码试试 找到flag,这种简单解法的送分一般只会作为CTF竞赛的签到 二、robots 根据页面提示,这里我们直接GET传参robots.txt 根据提示我们接着访问这个目录 得到flag: cyberpeace{b2d393affbdb4f3d26058...
攻防世界web初级
qq_44197252的博客
02-12 364
1.view_source 2.robots 3.backup 4.cookie 5.disabled_button 6.weak_auth 7.simple_php 8.get_post 9.xff_referer 10.webshell 11.command_excution 12.simple_js 1.view_source ctrl+u查看源代码,
攻防世界-web-view_source
wuh2333的博客
03-19 128
攻防世界,网页源码
攻防世界——web新手和引导模式(全解)
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手目,小白重新归来
攻防世界WEB(view_source、get_post、.robots、backup、Cookie、disabled_button、weak_auth、xff_referer、simple_php)
m0_61506558的博客
08-17 625
文件,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围。如果该文件不存在,则所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面面。打开F12 后重新刷新一下页面,在Network 一栏下查看消息头,发现有个Cookie 字段,字段值为look-here=cookie.php。间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。加入字典,查看长度不一样的,就是flag。更换思路,去查看页面源代码。.....
攻防世界Webview_source
qq_71594877的博客
09-20 177
攻防世界Web持续更新中,主要整理解思路,进行复现,如有不足,还请各位师傅在评论区斧正
攻防世界web初阶练习
m0_54082441的博客
05-05 849
1.view_source 目说鼠标右键不管用了,那我们直接就F12就可以了,笔记本可以用Fn+f12 答案如下: cyberpeace{049db330c1bb587642cOfceeb42155a} 2.robots 进入场景之后,我们会发现是个空白页面,根据目提示robots协议, 我们指导robots.txt是爬虫协议,这其实就是一个遍历目录,将列举出全部内容(前提是服务器存在robots.txt) 我们直接访问robots.txt这个文件,看看有什么内容 ...
攻防世界Web新手总结
热门推荐
weixin_43460822的博客
09-28 2万+
这一周我一直在攻防世界上做web新手,今天刚刚做完,特意写篇博客来做一下总结。下面就开始写我的解过程。 先把所有目贴出来 Web新手一共有12道,分别是 view_source get_post robots backup cookie disabled_button simple_js xff_referer weak_auth webshell command_execution ...
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防实训」首都安全日_-CSO论坛_-PPT_V4 - WEB应用防火墙.zip
11-27
攻防实训」首都安全日_-CSO论坛_-PPT_V4 - WEB应用防火墙 安全漏洞 安全众测 技术分析安全管理 工控安全
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127947532
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 806
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
如何在Android应用中安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 78
Android内置SQLite轻量级关系型数据库,可以在Android应用中存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序中。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 314
但自养号需要解决技术层面的问,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 222
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
4.3 海思SS928开发 - uboot开发 - 非安全启动镜像制作
luohaha66的博客
04-23 228
上电,启动GSL,启动uboot,引导内核启动。
web python template injection_攻防世界-Web_python_template_injection详解
05-26
Web Python Template Injection 是一种常见的 Web 漏洞类型,通常缩写为 SSTI(Server Side Template Injection)。该漏洞是由于 Web 应用程序未正确处理用户输入导致的,攻击者可以通过构造恶意输入来执行任意代码或获取敏感信息。 Python 作为一种流行的 Web 开发语言,广泛应用于 Web 应用程序中。Python Web 框架(如 Flask、Django 等)通常使用模板引擎来生成动态内容。在模板引擎中,可以使用变量、表达式、条件语句、循环语句等功能来生成动态内容。然而,如果在模板引擎中直接使用用户输入作为变量或表达式的一部分,而没有对用户输入进行适当的验证和过滤,就可能导致模板注入漏洞。 例如,在 Flask 应用程序中,可以使用 Jinja2 模板引擎来生成动态内容。如果在模板中使用了用户输入的变量,攻击者可以构造恶意输入来执行任意代码。例如,以下代码中的 name 变量可能是用户输入的: ```python from flask import Flask, render_template, request app = Flask(__name__) @app.route('/') def index(): name = request.args.get('name', '') return render_template('index.html', name=name) if __name__ == '__main__': app.run(debug=True) ``` 在 index.html 中,可以使用 {{ name }} 来显示用户输入的 name 变量。如果攻击者在 name 中注入了模板代码,就可能导致模板注入漏洞。例如,攻击者可以构造如下的输入: ``` {{ ''.__class__.__mro__[1].__subclasses__()[414]('/etc/passwd').read() }} ``` 这段代码在模板引擎中会被解释为调用 Python 的 subprocess.Popen 函数执行命令 /etc/passwd,并读取其输出。攻击者可以通过这种方式执行任意代码,获取敏感信息或者直接控制服务器。 为了防止 SSTI 漏洞,开发人员应该对用户输入进行严格的验证和过滤,避免在模板引擎中直接使用用户输入作为变量或表达式的一部分。可以使用 Python 的安全模板引擎(如 jinja2-sandbox、jinja2-timeout 等)来限制模板执行的权限,或者使用模板引擎提供的安全过滤器(如 escape、safe 等)来过滤用户输入。此外,还应该及时更新 Web 应用程序和相关组件,以避免已知的漏洞攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张耘嘉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值