攻防世界web新手区总结

最新推荐文章于 2024-06-05 19:47:44 发布
最新推荐文章于 2024-06-05 19:47:44 发布
阅读量342 收藏
点赞数
分类专栏: ctf 文章标签: ctf writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39938635/article/details/105628122
版权

目录

前言

我还是太菜了,这篇就放一些查了writeup的
攻防世界网址:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0&page=1

backup

基础知识:
常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history

simple_php

基础知识:
php弱类型比较

xff_referer

X-Forwarded-For:
简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项
Referer:
header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的

示例:

最低0.47元/天 解锁文章
zero-L
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界web
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界-Web(新手)
热门推荐
qwzf
07-17 2万+
前言 暑假前,为了学习Web题,做了攻防世界新手Web题,当时没有总结,现在总结一下。 正文 Web1:view_source 查看源代码,右键不可以用。所以按F12,直接查看源码即可。 Web2:get_post HTTP的两种请求方式 GET GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中)如: /test/1.php?name1=value1&name...
CTFCTF竞赛介绍以及刷题网址
最新发布
m0_71744044的博客
06-05 704
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、堆溢出。
攻防世界新手WEB
weixin_44512852的博客
09-23 1284
新手web cookie 网址:http://111.200.241.244:60981/ 题目是cookie,可以在网页按F12进入控制器,在运行一次找到对于ip查看消息头中cookie的信息 这里可以看到在请求和响应消息头中cookie的name-value是look-here:cookie.php,所以看看cookie.php看看 图中可以看到,给了提示"See the http response"然后继续在控制台中查看response的内容,没有找到需要的内容,试一下用burpsuite抓取然后
攻防世界 web
qq_41071646的博客
05-30 1065
最近无事 想刷刷web题 来玩玩 不想看pwn还有re~~~ 复习什么的 也不是干@@@@@@ 然后刷的平台攻防世界 毕竟感觉哪里的题 感觉适合入手 robots 这个协议我确实知道 在学习python 爬虫的时候看的 如果 你不想让搜索引擎来 爬取你网站的信息的话 可以在网站上的 robots.txt 写上这些引擎 (当然对大公司有约束 一般人写爬虫 是不怎么遵守这个约定的)...
攻防世界(web)---Training-WWW-Robots
ooooohhhhhhh博客
08-22 101
猜测此题应该与robots协议有关 robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。(百度) 在url后面加入 /.robots.txt 进入 /fl0g.php,得到flag ...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840757
攻防世界web(练习
yxl_d的博客
09-05 441
前记 做题平台:攻防世界 平台地址:https://adworld.xctf.org.cn/ 做题工具:Firefox web1.view_source 拿到题目链接打开后发现右键不管用了 于是乎在Firefox上打开web开发者中的web控制台,可获得flag web2.get_post 在Firefox上打开插件hackbar,用get方式传递a=1 勾选hackbar上的Enable...
攻防世界-web
weixin_42675180的博客
03-20 299
这里写自定义目录标题robots协议解题思路 robots协议 robots协议在网站根目录下放一个robots.txt文本文件(如 https://www.taobao.com/robots.txt ),里面可以指定不同的网络爬虫能访问的页面和禁止访问的页面,指定的页面由正则表达式表示。网络爬虫在采集这个网站之前,首先获取到这个robots.txt文本文件,然后解析到其中的规则,然后根据规则来采...
攻防世界 Web-mfw
qq_43504837的博客
08-04 1987
直接进入场景,大概看一下,并没啥东西。 进入开发者模式,一般注释都有提示,直接搜索flag,可以看到是一个get传参。 试了一下是空白,真是欺负年少无知的我。 所以,百度一下,别人说是git源码泄漏,于是操作一下,果然出来了文件。 要下载文件就用到一个githack.py脚本,我的另一篇博客有写到。 GitHack下载及使用 下载下来后,发现了flag.php,然而看不到flag. 所有文件都看一遍,只有index.php中有php代码,所以研究一下。 if else语句是以get方式获得一个变量,若没有,
攻防世界web练习
NoOneGroup
01-08 355
攻防世界web练习 新博客链接 ics-05 首先点击下发觉只有一个php界面,然后在点击,发觉有个?page=,尝试利用php伪协议读取源代码 ?page=php://filter/read=convert.base64-encode/resource=index.php 读取解码后发觉后门 if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1...
xctf攻防世界-新手练习(web) Writeup
凝聚力安全团队
11-05 802
题目view_sourcerobotsbackupcookiedisabled_buttonweak_authsimple_phpget_postxff_refererwebshellcommand_executionsimple_js xctf官方网站:https://www.xctf.org.cn/ view_source 题目描述: X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 以下方法都可以查看源代码 ctrl+u F12 view-source:http://
攻防世界 web view_source
shidonghang的博客
10-24 1977
view_source 题目 场景 过程 右键不能用没关系,F12查看源代码,直接签到
ctf(一):攻防世界
天威一号
10-27 585
网址:https://adworld.xctf.org.cn/ 1、post传参 2、get传参直接在后面加 ?id=1 3、robots.txt 文件。 直接在网址后面加 robots.txt 就会显示后台文件; 4、index.php 后缀是.php的文档备份格式: index.php 备份后: index.php.bak 5、cookie 在f12中找储存中就会显示cookie选项,...
攻防世界 Morse
LEIDAqix的博客
12-21 3762
攻防世界 Morse 下载附件 11 111 010 000 0 1010 111 100 0 00 000 000 111 00 10 1 0 010 0 000 1 00 10 110 (看构成仅有0,1,可能为摩斯密码,或者转为ascii,又看到0,1分布有空格隔开,且没有规律,判定为摩斯密码) 摩斯密码的解法: (将1-为将0为.,或者互换,去在线转换网址查看) 网址: 在线转换 同理也...
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值