f1ag_1s_h3re.php,攻防世界WEB新手练习

最新推荐文章于 2022-03-27 19:52:59 发布
最新推荐文章于 2022-03-27 19:52:59 发布
阅读量265 收藏 1
点赞数
文章标签: f1ag_1s_h3re.php

0x01 view_source

0x02 get_post

这道题就是最基础的get和post请求的发送

b1f5997e996d00c0dbd70f3a8ecccfc8.png

bf4d2bbe646dce8d3c29f5b62ba2ff7e.png

flag:cyberpeace{b1e763710ff23f2acf16c2358d3132d3}

0x03 rebots

Rebots.txt 是用来声明该网站中不想被爬虫访问的部分,这道题直接访问rebots.txt文件

2d533057179a3ee9093fe783669c230c.png

接着访问 f1ag_1s_h3re.php 页面即可得到flag

114cc78f7ba6d5937962dd88a623ca70.png

flag cyberpeace{306fadfe172cc2b119b280d295ff0a1f}

0x04 backup

这道题考察 index.php 文件的备份,直接访问 index.php.bak,下载得到文件

f7772ccd436c2352d2e6bd70ab337741.png

打开文件,得到flag

f3174e4e3dd1c3879db843009a018316.png

flag cyberpeace{d8bb9a4195f79a3922d10a7b58dfeaf4}

0x05 cookie

直接F12找到cookie,看到一个cookie.php

cf943be5c567b74ea94b97a509365a8d.png

访问cookie.php,提示查看响应,在Headers中找到flag

540a08428bdbc76211bcadbdf75306c8.png

flag cyberpeace{15835050f13eaf46ddac3c04e82843e0}

0x06 disable_button

直接审查新元素,删除按钮的disable属性就可以点击按钮得到flag

d9cb6715a1a4fc0463d8454ecb2a8021.png

95699562c01e845c6675fc1e0b4b0558.png

flag cyberpeace{a2e0ad504671922bb2113fe192a453b3}

0x07 simple_js

直接F12打开页面源码,发现一段js

function dechiffre(pass_enc){

var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";

var tab = pass_enc.split(',');

var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;

k = j + (l) + (n=0);

n = tab2.length;

for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i]));

if(i == 5)break;}

for(i = (o=0); i < (k = j = n); i++ ){

o = tab[i-l];

if(i > 5 && i < k-1)

p += String.fromCharCode((o = tab2[i]));

}

p += String.fromCharCode(tab2[17]);

pass = p;return pass;

}

String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

h = window.prompt('Enter password');

alert( dechiffre(h) );

分析这段js可以得知上面的pass字符串是假的,真正的密码是下面那段19进制编码,将它转成字符串得到

55,56,54,79,115,69,114,116,107,49,50

再将它由十进制字符产转为字符你,可以得到 7860sErtk12

flag cyberpeace{7860sErtk12}

0x08 xff_referer

网页要求 ip地址必须为123.123.123.123,且必须来自https://www.google.com

直接抓包添加X-Forwarded-For: 123.123.123.123与Referer:https://www.google.com就好

9fce2e766a1ddf7ac08e270733c6fc63.png

flag cyberpeace{6e0449737694a9288d23e5de45a54c31}

0x09 weak_auth

0x10 webshell

index.php 一句话 直接用菜刀、中国蚁剑直接接shell,得到flag.txt文件

a31ca5106576afd28ddb053810dc2b2b.png

flag cyberpeace{09f2d95776e8939981f33144d4c7dc46}

0x11 command_execution

命令注入,没什么好说的

windows或linux下:

command1 && command2 先执行command1后执行command2

command1 | command2 只执行command2

command1 & command2 先执行command2后执行command1

02e28c65e1c7c83f85868e90bfab6a71.png

flag cyberpeace{5110ae73939fe3bc61d190f39b986eef}

0x12 simple_php

一个关于php == 和 === 的问题,没什么好说的,a用‘0’绕过,b用数组

eaf36b9a45f68e1cdb4429efee020c29.png

At last

新手题没意思,都是无脑题,但还是得把鸽了一个多月的wp写了(卑微+×,在线丢人)

be5d0140e2180c5eba456fe9dcd9e5fe.png

华丰卫浴
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021-03-12
weixin_55294689的博客
03-12 120
BurpSuite(Intruder) 变量设置 常见备份文件后缀 常见的备份文件后缀名有 .git .svn .swp .~ .bak .bash_history robots协议 原理:robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。简单例题:攻防世界web新手区第
f1ag_1s_h3re.php,攻防世界XCTF-WEB-新手练习区(1-3)
weixin_42502382的博客
04-02 857
第一题:view_source题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。通过描述提示发现鼠标右键不能能使用,大概是让我们不让我们查看网页源代码,可以按f12打开开发者工具进行查看,flag是:cyberpeace{ac9d97dc4b075ec9a16834300222ef10}第二题:robots题目描述:X老师上课讲了Robots协议,小宁同学却上课打...
f1ag_1s_h3re.php,攻防世界web新手区前六关
weixin_33253331的博客
04-02 391
第一题view_source鼠标无法查看网页源代码,可以利用F12来查看,flag就在网页源码中。 第二题robots根据题目提示robots,此题考查robots协议,robots协议也叫robots.txt,存放于网站根目录,当打开题目网站时为一片空白,需在网址后添加/robots.txt后得到一串字符,将得到的字符f1ag_1s_h3re.php替换robots.txt即可得到flag。 第...
f1ag_1s_h3re.php,2019攻防世界web新手
weixin_39986169的博客
04-02 126
robots看了題目描述,發現與robots協議有關,過完去百度robots協議。發現了robots.txt,然后去構造url訪問這個文件http://111.198.29.45:42287/robots.txt得到提示:Disallow: f1ag_1s_h3re.php,再次構造url,訪問這個文件。http://111.198.29.45:42287/f1ag_1s_h3re.php成功得到...
f1ag_1s_h3re.php,攻防世界 robots题
weixin_31829293的博客
04-02 467
来自攻防世界robots[原理]robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。[目标]掌握robots协议的知识[环境]windows[工具]扫目录脚本dirs...
Keil.STM32F1xx_DFP.2.4.0.zip Keil.STM32F1xx_DFP.2.4.0.pack
03-10
STM32F1xx_DFP(Device Family Pack)是Keil公司为STM32F1系列微控制器提供的一种软件开发支持包,它包含了用于Keil μVision IDE的编译器、调试器所需的设备驱动和库文件。这个版本是2.4.0,表示这是该DFP的第2个...
Keil.STM32F1xx_DFP.2.4.0.pack
12-12
2021.12.10更新,Keil-MDK中STM32F1系列芯片支持库
Keil.STM32F1xx_DFP.2.2.0.zip
03-04
标题“Keil.STM32F1xx_DFP.2.2.0.zip”和描述“Keil.STM32F1xx_DFP.2.2.0.zip”都指向了一个特定的软件包,这是Keil公司为STM32F1系列微控制器提供的设备支持包(Device Family Pack,简称DFP)。这个版本是2.2.0,...
Keil.STM32F1xx_DFP.2.3.0安装包和说明书.zip
10-29
STM32F1xx_DFP(Device Family Package)是Keil公司为STM32F1系列微控制器提供的一套开发工具包,它包含了编译器、调试器、库函数以及设备驱动程序等必要组件,使得开发者能高效地进行STM32F1系列芯片的应用程序开发...
STM32Cube_FW_F1_V1.8.0.rar
04-27
STM32Cube_FW_F1_V1.8.0 是一款针对STM32F1系列微控制器的固件库,由意法半导体(STMicroelectronics)发布。STM32Cube是ST提供的一整套软件解决方案,它包括了HAL(硬件抽象层)和LL(低层)驱动库、中间件、示例...
xctf社区题解1
Spwpun的博客
03-30 3183
web-新手模式: view-source: 鼠标右键被网页禁用了吧,F12查看即可: get_post: 提交之后,显示: robots: 访问robots.txt,发现f1ag_1s_h3re.php页面: 访问f1ag_1s_h3re.php页面: backup: 常见的备份文件后缀名有:.git .svn .swp .~ .bak .bash_history,访问提示如下: ...
初试ctf
c1042503039的博客
02-19 1744
初试CTF 在朋友的推荐下,在攻防世界里练ctf,借博客总结加深记忆。 1、当不能用右键打开源代码时,在url前输入view-source: 即可看到网页源代码 2、
adworld.xctf-web-新手练习区刷题
BROTHERYY的博客
05-07 1001
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
XCTF嘉年华 re1 Writeup
煮酒闲谈
10-17 1220
摘要CTF解题 > XCTF嘉年华体验赛>> re1Reverse 题目描述 Github https://github.com/Cherishaoit’s easy 文件后缀是个.ppp,感觉是个二进制文件,放到kali下查看一下(用file命令查看)。 root@kali:file 1bc87216-beb5-4e56-a7b5-2955d2a200b6.ppp由结果知,是一个32位
XCTF攻防世界web新手练习_ 1_robots
silence1_的博客
04-27 1062
XCTF攻防世界web新手练习 题目 题目为robots,首先题目描述为 进入题目后空白一片,F12查看源码 flag is not here 想起题目与robots相关,试试查看robots.txt 得到flag在f1ag_1s_h3re.php这个文件里,便前往它。 得到flag! 关于robots.txt 以下是维基百科内容: robots.txt(统一小写)是一种存放于网站根目...
[SWPUCTF 2018]SimplePHP phar漏洞及其文件上传
qq_54929891的博客
03-27 3235
在查看文件这个页面发现一个可疑参数file,试试能不能读取源代码 根据include包含来将各个文件源代码都提取出来,最重要的是class.php <?php class C1e4r { public $test; public $str; public function __destruct() { $this->test = $this->str; echo $this->test; } } ..
攻防世界web新手题解题步骤
m0_52923241的博客
03-06 590
view_source FLAG is not here,所以Ctrl+U查看源代码 找到flag为cyberpeace{86dd1ffe3e265fc884d0b12e8a2cce46} ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210305161223150.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV
[BUUCTF] 集训第二天
Dannie01的博客
09-29 403
补题 [GXYCTF2019]BabyUpload1 正常开端一句话木马 <?php eval($_POST[cmd]);?> php文件不许上传, 尝试上传jpg 换个姿势改一下内容 <script language='php'>eval($_POST[cmd]);</script> 上传成功,记得这个路径 因为是jpg文件,无法解析php,观察是Apache server,上传.htaccess文件来将其他文件解析成PHP文件 .htaccess文件是Apa
stm32cube_fw_f1_v1.8.0.zip
最新发布
06-25
### 回答1: stm32cube_fw_f1_v1.8.0.zip是针对STM32F1系列微控制器的软件包。STM32F1是意法半导体公司推出的一款低功耗高性能微控制器,具有广泛的应用领域,包括消费电子、工业自动化、医疗设备等。stm32cube_fw_f1_v1.8.0.zip中包含了STM32F1系列微控制器的固件库以及软件开发工具(例如STM32CubeMX和System Workbench for STM32等),可以帮助开发者快速、高效地进行STM32F1系列微控制器的开发。同时,在stm32cube_fw_f1_v1.8.0.zip中也提供了丰富的应用代码和应用示例,方便开发者快速上手和开发出符合自己需求的产品。综上所述,stm32cube_fw_f1_v1.8.0.zip是一款非常有用的软件包,对于开发STM32F1系列微控制器的应用具有非常重要的作用。 ### 回答2: stm32cube_fw_f1_v1.8.0.zip是一种针对ST微电子F1系列微控制器的软件包。它包含了一系列用于开发F1微控制器的工具和驱动程序,可以用于快速开发高性能应用程序。 这个软件包是ST微电子公司发布的,旨在提供一个全面的解决方案,以便开发人员能够更快、更方便地开始使用STM32微控制器。其中包括各种硬件抽象层及其应用程序接口(HAL API),运行时环境(RTOS)和示例代码等。 通过这个软件包,开发人员可以更快地启动、运行和调试STM32微控制器,同时也可以使代码更加可读和易于维护。此外,该软件包的组件还可以与其他基于STM32芯片的应用程序进行集成,以实现更加高效地资源利用和更好的性能。 总之,stm32cube_fw_f1_v1.8.0.zip是一个用于开发STM32微控制器的完整解决方案,开发人员可以利用其中的多种工具和驱动程序,更快地开发高性能的应用程序。 ### 回答3: stm32cube_fw_f1_v1.8.0.zip是一款针对STMicroelectronics STM32 F1系列微控制器的固件包。该固件包由STMicroelectronics官方提供,并包含了许多驱动库、应用程序代码和示例,可以帮助开发人员快速搭建功能强大的STM32 F1系列应用程序。 该固件包支持多种开发环境,包括Keil MDK-ARM、IAR EWARM和GCC等。通过使用该固件包,开发人员可以利用STM32 F1系列微控制器的高性能和丰富的外设资源,快速构建各种嵌入式应用,如工业控制、医疗设备、消费电子等。 除了代码库和示例外,该固件包还包括标准外设库、USB库、协议栈和中间件等,为开发人员提供了一整套完整的解决方案。此外,该固件包还支持对设备的低功耗模式进行管理,进一步优化了系统的功耗和性能表现。 总之,stm32cube_fw_f1_v1.8.0.zip是一款功能强大的STM32 F1系列微控制器固件包,帮助开发人员快速构建高性能的嵌入式应用程序,同时保证系统的可靠性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值