Web入门1

已于 2022-10-22 15:29:04 修改
阅读量924 收藏 1
点赞数 1
分类专栏: webCTF 文章标签: web安全
于 2022-10-21 11:37:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63792137/article/details/127440779
版权

信息搜集


CTFshow

web1

打开链接,显示如下
question1
直接F12,查看源代码,如下
answer1

web2

打开链接,显示如下;并且无法使用F12查看源代码question2
(1) 可以用ctrl + shift +i查看
(2) 通过在url头部添加 view-source:
(3) 点击···–>更多工具–>开发者工具
(4) 通过burpsuite抓包来显示源代码
如下:
(1)(2)(3)
answer2


(4)
tap1tap2

web3

打开链接F12显示如下
Hint(暗示)显示:通过burpsuite抓包 flag在返回的响应数据包里面
question3
那就抓包呗,同以上步骤
answer3.1


还有一种抓包,直接利用开发者工具(F12),network抓包,重新刷新,其flag在响应头中
answer3.2

web4

打开链接F12显示如下
Hint:考点是robots.txt文件,直接访问url/robots.txt获得flag
robots协议:即爬虫协议,建立一个robots.txt文件来告诉搜索引擎哪些页面可以抓取,其为一个约定俗成。
question4
按照hint完成flag回显,其不允许访问flagishere.txt,我们就访问它url/flagishere.txt
得到flagctfshow{fda82ea1-2ea4-4469-8036-c517575a033d}
answer4

web5

打开链接F12显示如下
Hint:考点phps文件泄露,直接访问index.phps。获得flag
question5
根据hint直接访问url/index.phps下载文件,打开如下:
原理:在服务器目录下会创建一系列文件,当我们访问其服务器文件时,会下载下来,用电脑记事本打开
answer5

web6

打开链接F12查看源码
Hint:考察代码泄露。直接访问url/www.zip,获得flag
question6
根据提示,下载zip文件,打开后里面有两个文件
优先打开index.php文件,有以下提示,接着打开fl000g.txt,发现如下
tap1tap2
可以看出这个flag是唬人的,那就又没有头绪了?
当然想到fl000g.txt可能也存在于服务器文件,直接访问url/fl000g.txt
得到flagctfshow{35eba40b-3b0f-42ed-a5ac-72146441206b}
解释:服务器里文件含有敏感信息,不应轻易修改,而源码包里的文件可以供用户修改,所以其内容不一定是原服务器源码包文件的内容

`流年づ
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web攻防--PHP特性&CTF考点
weixin_68243135的博客
11-15 1162
Web攻防--PHP语言特性--函数缺陷
CTFshow web入门——信息搜集
小元砸的博客
01-12 3901
web 1 题目:开发注释未及时删除 解题思路:ctrl+u查看源码即可得到flag web 2 题目:js前台拦截 === 无效操作 解题思路:打开可以看到 “无法查看源代码”的字样 但依然可以用ctrl+u的方法查看源码,即可得到flag web 3 题目:没思路的时候抓个包看看,可能会有意外收获 解题思路:F12查看一下响应头即可得到flag web 4 题目:总有人把后台地址写入robots,帮黑阔大佬们引路 解题思路:根据提示访问/robots.txt,会出现:"User-agent: * Di
WEB综合渗透
JJH2724719395的博客
11-22 3332
web综合渗透
CTFshow:WEB3(1),网络安全工作经验6年
最新发布
m0_61331407的博客
04-07 260
利用此协议需要为on,可以访问请求的原始数据的只读流,将。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。
CTFSHOW WEB 01 - WEB 20 信息搜集篇 详解
qq_49399033的博客
02-22 1396
域名解析记录,也称为 DNS 记录,是保存在 DNS 服务器上的信息。它们将人类可读的网址(例如,[www.example.com)映射到机器可读的IP 地址(例如,192.0.2.1)。这是因为计算机和其他设备使用 IP 地址在互联网上到和交流。A 记录:这是最常见的 DNS 记录类型,用于将域名映射到一个 IPv4 地址。AAAA 记录:这是 A 记录的 IPv6 版本,将域名映射到一个 IPv6 地址。CNAME 记录。
青少年CTF - Web - Flag在哪里 Wp WriteUp
zxsctf的博客
10-01 3963
在标签的title标签下方,就有被注释的flag。flag是动态的哦,同学们要自己好好做题!启动环境,需要等待大概20秒左右的时间。访问,页面显示Flag反正不在这。平台名称:青少年CTF训练平台。右键网页,发现无法使用右键。题目名称:Flag在哪里?
关于http://106.52.39.144:81/ 到flag,解题思路以及截图
weixin_56513549的博客
01-22 4923
(1)拿到网址,先用御剑去扫描目录,发现可疑目录PHP页面 (2)进入PHP页面我们发现是某个网站的后台登录系统 当时用了sqlmap去扫描发现此页面没有注入漏洞 (3)使用抓包软件去跑密码,强烈建议使用的字典要强大一点,否则跑不出来。 发现667788跑出,得到key值 (4)回到页面验证,页面规定密码长度为5,进入f12页面修改type与长度 type修改的是密码显示,将密码显示成可视,后面的5改成任意值,因为密码是667788所以要大于...
Vulnhub靶场--AI-Web-1.0提权获取flag
qq_53830529的博客
05-16 664
vulnhub实战靶场的AI-Web-1.0,使用两种SQL注入上传shell的方法,第一:SQLmap的--os-shell上传shell,第二:通过手动into outfile上传webshell。
WEB安全入门基础.pptx
08-24
WEB 安全入门基础 本资源摘要信息主要关注 WEB 安全入门基础,涵盖了 WEB 安全的基本概念、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 WEB 安全入门基础 WEB 安全入门基础主要包括 WEB ...
web安全测试入门
03-23
入门web安全测试入门软件测试1.数据验证流程:一个好的web系统应该在IE端,server端,DB端都应该进行验证。但有不少程序偷工减料,script验证完了,就不管了;appserver对数据长度和类型的验证与dbserver的不一样,...
web安全应用入门.docx
11-29
Web 安全应用入门 Web 安全应用入门的知识点可以总结如下: Web 服务安全模型 * Web 服务安全模型是由微软和 IBM 共同定义的,以 WS-Security 规范为核心,保证了 SOAP 消息的安全性。 * 该模型引入了一个由各个...
Java Web 入门
07-21
Java Web 入门
JAVA WEB 新手入门笔记
03-13
一、 JavaScript 二、 数据库单表 三、 数据库多表 四、 事务的管理 五、 JDBC 六、 JDBC连接池 七、 DBUtils 八、 Tomcat & Http 九、 Servlet & request & response 十、 JSP & EL ...十九、 补充
CTF web 题型解题技巧-第一课 思路讲解
moRickyer的博客
11-26 4044
原定六月前学完的内容要延后了,先顾工作,后顾学习~对之前学习内容的总结:CTF web 题型解题技巧-第一课 思路讲解;之后会有关于CTF-WEB第二课、第三课等内容。 引用亮神的话: 如果你分享的内容过于真实,你就没有发表机会,你要完全假了呢,又没有读者去看,你可以在这个通道里,真一会儿假一会儿地往前走,最重要的还是要往前走。 ----Micropoor 侯亮大神说:知识的最高的境界是分享,而在我看来,我们在分享的同时也是对自我认知的一个提升。 image.png 以下内容大多是我在学习过程,借鉴前人经
BUUCTF-练习场-Web(5-8)
m0_62905745的博客
10-26 1456
SQL注入的解题大概步骤,以及爆表爆库查字段 绕过空格,替换字符的方法 命令执行漏洞
2021-01-31
m0_54628962的博客
01-31 1050
20210131CTF题目练习 1.web1:view_source 打开网页 因右键无法使用,想要查看源代码可以使用Ctrl+u来查看,或可以在地址栏前面加上view_source:来查看 即可得到flag值,如图 2.web2:robots 打开网页,在网址后加上robots.txt,查看文件里的内容 将文件flag部分粘贴复制至网址后得到flag 3.Misc题目:this_is_flag 题目答案即题目描述后for example后面的内容 4.crypto题目:base64 点击附
攻防世界web解题[进阶](一)
weixin_46703850的博客
03-04 682
攻防世界web解题[进阶](一)
CTF show----web 解题笔记(web签到~web6)
weixin_45908624的博客
11-22 3676
web签到~web6 解题笔记
ctfshow-web 信息收集篇
akxnxbshai的博客
01-11 987
web 1 直接查看源代码即可。(F12或Ctrl+u) web 2 跟web 1相似,但只能用Ctrl+u。 web 3 直接F12,在响应可以看到flagweb 4 打开网址后什么都没发现,最后观察题目,在网址后加上/robots.txt,发现 User-agent: * Disallow: /flagishere.txt 在网址后加上/flagishere.txt即可得到flagweb 5 根据题目为phps文件泄露,查看phps文件,下载即可拿到fl
ctfshow web入门
05-14
如果你想学习Web安全的话,可以先从Web入门开始学起。 对于Web入门,你需要掌握以下知识: 1. HTTP协议:了解HTTP请求和响应的基本格式、状态码的含义等。 2. HTML、CSS、JavaScript:掌握基本的HTML标签、CSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值