攻防世界-web-WP

已于 2022-01-24 18:47:44 修改
阅读量2.1k 收藏
点赞数 1
文章标签: web安全
于 2022-01-21 23:12:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63522478/article/details/122624306
版权

一、题目

1.view_source

2.robots

3.backup

4.cookie

5.disabled_button

二、解题思路

1.view_source

打开题目场景

根据题目描述查看源代码

查看网页源代码的方式一共有四种
(1)鼠标右键点击查看源代码

(2)Ctrl+U

(3)Fn+F12(打开web开发者工具)

(4)Shift+Ctrl+I(打开web开发者工具)

任选其一操作就看到了flag:

2.robots

先来了解一下robots协议是什么:

robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。

打开题目场景:在网址后面输入/rotobs.txt

 

Disallow作用:用于描述不允许搜索引擎蜘蛛爬行和抓取的url;

既然不允许访问,那我们就子啊在原网站后面输入f1ag_1s_h3re.php然后进行访问得到flag

3.backup

打开题目场景

现在网址后面输入index.php,访问后没有反应

常见的备份文件后缀名有:“.git” 、“.svn”、“ .swp”“.~”、“.bak”、“.bash_history”、“.bkf”

然后在网址后面输入备份文件后缀,一个个尝试,当输入.bak时会下载一个文件

用记事本打开

4.cookie

打开题目场景

 Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。

我理解的cookie就是用来储存数据的。

Fn+F12打开web开发者工具,我的理解是cookie是用来存储数据的,所以找到存储点击查看cookie

看到有个值是cookie.php在原网址后输入/cookie.php然后进行访问

根据要求打开web开发者工具查看http response发现

 5.disabled_button

打开题目场景

根据题目要求要将它变为一个可以按的按钮

Fn+F12打开web开发者工具查看网页源代码

 发现在源代码执行的一行有disabled将其删去,然后网页上的按钮就可以按了,出现

嘿咻嘿咻~~
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界 web新手练习区WP(超新新手!)
寻同学的博客
08-26 918
攻防世界 web新手练习区WP(超新新新手!)(持续更新中) 看了看自己的博客,发现最近几年学什么发什么博客都是半途而废????,怎么肥四哇,给自己一个差差差评。 最近工作需要,又开始了新的一波学习。开始在攻防世界上面刷一些最简单最基础的题目,在这边记录一下吧,希望这一次的学习和记录能多坚持一段时间鸭~~ 以下为正文: 1.view_source 打开题目场景链接后如下图 按F12查看源代码,如下图 可以直接看到flag为cyberpeace{bcfce52ec705e8a28365b795cbd93
攻防世界-Web-萌新入坑-NaNNaNNaNNaN-Batman(html乱码脚本处理)
热门推荐
Sea_Sand息禅
04-13 1万+
NaNNaNNaNNaN-Batman 下载文件,内容是这样的: 脚本语言,是html文件,修改后缀用浏览器打开得到: 是一个输入框,看来我们要先弄清楚这个文件的代码才行,审计代码可以看到最开始的下划线“_”是一个变量,其内容是一个函数的代码,而最后又是一个eval(_),也就是执行这个函数了,我们把eval改为alert,让程序弹框,得到了源码的非乱码形式: 把得到的代码整理一下就是...
攻防世界新手区部分web wp 2
fcz___的博客
02-09 1271
攻防世界web新手区部分wp
2024年最新CTF_WP-攻防世界web题解,从零开始学数据结构和算法
最新发布
2401_84264536的博客
05-11 463
题目描述:想想初始页面?尝试访问index.php,没反应,返回结果一样用dirbuster扫描一下,发现果然有个index.php,并且大小跟1不一样,并且返回码是302再次尝试访问,还是不行搜索得知,302是被重定向了用burpsuit抓包发送,flag被隐藏,查看headerflag藏在报文头里备份文件搜索得知:php的备份有两种:.php~和.php.bak修改urlindex.php.bak自动下载了一个文件,打开发现flag打开链接是一个维基百科的说明,
CTF攻防世界--web题的wp
weixin_43803070的博客
05-18 8341
Linux的系统光盘,当然想到了在Linux下进行挂载了。 打开虚拟机: root@kali:~# strings '/root/桌面/linux' | grep flag //strings - 显示文件中的可打印字符 strings 一般用来查看非文本文件的内容. root@kali:~# sudo mount '/root/桌面/linux' /mnt //将文件挂载到/...
WEB入门 bugku web5
qq_42728977的博客
12-18 308
$num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } "=="绕过 php中有两种比较符号 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类型比较 == 对于所有0e开头的都为相等 is_numeric() 判断变量是否为数字或数字字符串 is_numeric() 函数会判断如果是数字和数字字符串则返回 TRUE,否则返回 FALSE,且
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界RE 流浪者 wp
03-15
攻防世界RE 流浪者 wp
西普WEB大部分题解
12-09
"CTF"是网络安全领域的一种比赛形式,参与者需要通过解密、漏洞挖掘、网络攻防等手段获取“旗标”,即比赛积分。而"题解"则是指对这些挑战的解答,包括思路、步骤和技巧,对于初学者和进阶者都极具参考价值。 ...
ctfweb题型总结大全(例题wp都有)
04-17
欢迎关注hacking水友攻防实验室,更多内容都在微信公众号
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8134
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
攻防世界wp(web1)
a34376764的博客
01-08 413
1、view_source web题,打开网页后当然首先打开Web开发者工具,一眼就能看到flag了。 2、robots 还是web题,还是先打开Web开发者工具,这次居然没有flag,查看描述了解此题需要了解robots协议,立马百度,了解到了robots协议的大致内容。 回到题目,根据百度到的内容,在网址后添加" /robots.txt ": 发现flag在一个PHP文件内,构造PHP地址后顺利得到flag。 .
攻防世界web新手题wp汇总
0pt1mus
02-09 1251
转载自个人博客:super.j的博客 0x00 view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 直接打开网站,F12查看源代码,发现flag:cyberpeace{d54ad4fdb3a258685cbd1fd82817c5a5}。 0x01 robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小...
攻防世界新手区web-WP 01
luoluopeach
02-14 445
1.view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了 打开题目发现右键被禁用了 根据题目可以知道,flag应该是在源代码中 使用开发者工具可以查看源代码,得到flag 2.robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧 首先百度了一下什么是robots协议 大概...
xctf 攻防世界 web wp 高手进阶区(持续更新中)
m0_55854679的博客
06-22 322
baby_web 点击题目链接,可以看到一个1.php的页面。 题目要求是查看初始页面,在url后面添加index.php【单一入口的应用程序就是说用一个文件处理所有的HTTP请求,例如不管是列表页还是文章页,都是从浏览器访问index.php文件,这个文件就是这个应用程序的单一入口。由于所有的http请求都由index.php接收,所以可以进行集中的安全性检查,如果不是单一入口,那么开发者就必须记得在每一个文件的开始加上安全性检查代码。工作都被集中到了index.php来完成,可以减轻我们维护其他功能代
xctf web wp
qq_63267612的博客
02-11 2132
simple_php 最简单的php,根据题目,get a和b的值如果a和0比较返回为true,而且a为真而且b不是纯数字,而且b要大于1234满足这些条件则返回flag 所以在网页后面加上代码?a=0a&b=a4567得到flag disabled_button 题目是一个不能按的按钮,那把它变成能按的就行,下载下来然后用文本打开,删除disabled,然后再用浏览器打开就能按了,可以得到flag get_post 题目第一步就直接在网页后面赋值就行,然后题目要求请再以POST方式随便提交一个
【Web】wp
weixin_52553215的博客
11-22 388
一、post get 1. 点开链接 在网址后添加 ?a=DMU 跳转至 execute 二、admin 1. 将user改为admin即可 三、php 1、 F12打开hackbar查看根目录 结果如下: 查看f1aaaa...g文件:a=system("cat /f1aaaaaaaag"); 结果为空白页 考虑到f1aaaaaaaag是一个文件夹 查看f1aaaa...
实验吧WEBWP(二)
Yale的博客
03-20 1464
1.Once More(http://www.shiyanbar.com/ctf/1805) 点击—view the source code 关键码 else if (strlen(_GET['password']) < 8 &&_GET['password']) < 8 && _GET[‘password’] > 9999999) { if (strpos ($
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值