攻防世界web（1~10）

最新推荐文章于 2023-12-27 10:29:49 发布

酥子叶

最新推荐文章于 2023-12-27 10:29:49 发布

阅读量124

点赞数

文章标签：爬虫

本文链接：https://blog.csdn.net/qq_62553635/article/details/121170885

版权

第一题

X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了

按F12即可找到flag

第二题

Robots协议（爬虫协议、机器人协议）

Robots协议（也称为爬虫协议、机器人协议等）的全称是“网络爬虫排除标准”（Robots Exclusion Protocol），网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。

____________________________________

Robots协议也称为爬虫协议、爬虫规则、机器人协议，是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯。“规则”中将搜索引擎抓取网站内容的范围做了约定,包括网站是否希望被搜索引擎抓取,哪些内容不允许被抓取,而网络爬虫可以据此自动抓取或者不抓取该网页内容。如果将网站视为酒店里的一个房间,robots.txt就是主人在房间门口悬挂的“请勿打扰”或“欢迎打扫”的提示牌。这个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪些不对搜索引擎开放。

robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的漫游器获取的，哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的，所以robots.txt的文件名应统一为小写。

Robots协议的详解

　　Robots协议是Web站点和搜索引擎爬虫交互的一种方式，Robots.txt是存放在站点根目录下的一个纯文本文件。该文件可以指定搜索引擎爬虫只抓取指定的内容，或者是禁止搜索引擎爬虫抓取网站的部分或全部内容。当一个搜索引擎爬虫访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索引擎爬虫就会按照该文件中的内容来确定访问的范围；如果该文件不存在，那么搜索引擎爬虫就沿着链接抓取。

　　另外，robots.txt必须放置在一个站点的根目录下，而且文件名必须全部小写。如果搜索引擎爬虫要访问的网站地址是http：//www.w3.org/，那么robots.txt文件必须能够通过http：//www.w3.org/robots.txt打开并看到里面的内容。

则加入robots.txt

再按提示输入

第三题

index.php备份文件名为index.php.bak，下载并打开文件，即可得到flag

第四题

输人cookie.php

抓包并发送到response即可得到flag

第五题

X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？

disabled属性：disabled 属性规定应该禁用 input 元素。
被禁用的 input 元素既不可用，也不可点击。可以设置 disabled 属性，直到满足某些其他的条件为止（比如选择了一个复选框等等）。然后，就需要通过 JavaScript 来删除 disabled 值，将 input 元素的值切换为可用。

找到并删除disabled。即可点击。

第六题

小宁写了一个登陆验证页面，随手就设了一个密码。

点击登录

可知用户名为admin

查看源代码发现提示.check.php，打开后查看源代码

提示需要弱字典。下载弱字典。在bp抓包后，发送到intruder爆破。发现长度不一样的即为密码。登录得flag。

第七题

小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

由题可得a==0时的flag1；b>1234时得flag2.直接在url中输入/?a=0 && b=1235a即可得flag

第八题

直接在url输入/?a=1

在火狐浏览器的hackbar插件中输入b=2；

第九题

X老师告诉小宁其实xff和referer是可以伪造的。

X-Forwarded-For（XFF）是用来识别通过HTTP 代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP头字段。
Referer 请求头包含了当前请求页面的来源页面的地址，即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 请求头识别访问来源，可能会以此进行统计分析、日志记录以及缓存优化等。

简单来说，xff和referer是HTTP协议首部中的两个字段，分别指出发送方最原始的IP地址，和你从哪个页面的链接进入的这个页面。

用bp抓包

在中间加入X-Forwarded-For: 123.123.123.123，然后response

得知referer必须为 https://www.google.com。则加入Referer: https://www.google.com

即可得到flag

第十题

小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。

用蚁剑连接，密码为shell。

打开后即可找到flag

酥子叶

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
攻防世界web（1~10）

第一题X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了按F12即可找到flag第二题Robots协议（爬虫协议、机器人协议）Robots协议（也称为爬虫协议、机器人协议等）的全称是“网络爬虫排除标准”（Robots Exclusion Protocol），网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。____________________________________Robots协议也称为爬虫协议、爬虫规则、机器人协.
复制链接

扫一扫