Web x2 week2 (XCTF新手练习区

最新推荐文章于 2020-12-22 11:48:46 发布
最新推荐文章于 2020-12-22 11:48:46 发布
阅读量249 收藏
点赞数
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44116352/article/details/100854832
版权

1、Robots

进入页面
在这里插入图片描述
没有内容

由题目提示,应要使用robots协议

  • robots协议
    Robots协议(也称爬虫协议、机器人协议等),全称为“网络爬虫排除标准” (Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些不能。

robots.txt是一个文本文件,它是一个协议,不是一个命令。robots.txt是搜索引擎中访问网站时要查看的第一个文件。告诉蜘蛛程序在服务器上什么文件是可以被查看的。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,若存在,搜索机器人就会按照该文件中的内容来确定访问的范围;若不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。

文件写法

User-agent: *  //这里的*代表的所有的搜索引擎种类,*是一个通配符

Disallow: /admin/   //这里定义是禁止爬寻admin目录下面的目录

Disallow: /require/   //这里定义是禁止爬寻require目录下面的目录

Disallow: /ABC/   //这里定义是禁止爬寻ABC目录下面的目录

Disallow: /cgi-bin/*.htm   //禁止访问/cgi-bin/目录下的所有以".htm"为后缀的URL(包含子目录)。

Disallow: /*?*   //禁止访问网站中所有包含问号 (?) 的网址

Disallow: /.jpg$   //禁止抓取网页所有的.jpg格式的图片

Disallow:/ab/adc.html   //禁止爬取ab文件夹下面的adc.html文件。

Allow: /cgi-bin/   //这里定义是允许爬寻cgi-bin目录下面的目录

Allow: /tmp   //这里定义是允许爬寻tmp的整个目录

Allow: .htm$   //仅允许访问以".htm"为后缀的URL。

Allow: .gif$   //允许抓取网页和gif格式图片

Sitemap: 网站地图   //告诉爬虫这个页面是网站地图


禁止所有机器人访问
   User-agent: *
   Disallow: /
允许所有机器人访问
   User-agent: *
   Disallow: 
禁止特定机器人访问
   User-agent: BadBot
   Disallow: /
允许特定机器人访问
   User-agent: GoodBot
   Disallow: 
禁止访问特定目录
   User-agent: *
   Disallow: /images/
仅允许访问特定目录
   User-agent: *
   Allow: /images/
   Disallow: /
禁止访问特定文件
   User-agent: *
   Disallow: /*.html$
仅允许访问特定文件
   User-agent: *
   Allow: /*.html$
   Disallow: /

返回题目
则读取robots.txt
在这里插入图片描述
在这里插入图片描述

得到flag

2、backup

题目:
在这里插入图片描述
打开备份文件:

在这里插入图片描述

得到文件中即有flag

  • 备份文件
    .php.bak
    是在编辑这个文件时自动生成的备份文件

3、simple_js

查看源码:


<html>
<head>
    <title>JS</title>
    <script type="text/javascript">
    function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
        var tab  = pass_enc.split(',');
                var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;
                        k = j + (l) + (n=0);
                        n = tab2.length;
                        for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i]));
                                if(i == 5)break;}
                        for(i = (o=0); i < (k = j = n); i++ ){
                        o = tab[i-l];
                                if(i > 5 && i < k-1)
                                        p += String.fromCharCode((o = tab2[i]));
                        }
        p += String.fromCharCode(tab2[17]);
        pass = p;return pass;
    }
    String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

    h = window.prompt('Enter password');
    alert( dechiffre(h) );

</script>
</head>

</html>

将pass转为ASCII码对应内容:
在这里插入图片描述

则尝试转化“fromCharCode”:
在这里插入图片描述

再转为ASCII码:
在这里插入图片描述
拿到flag

milagro_ww
关注
专栏目录
xctf-web 新手练习
尊暮萧的博客
05-31 348
view_source 这道题没什么说的,禁用右键了,F12开发者工具就可以直接调出来,直接出结果了。 robots 题目描述很明显,robots,那就在地址栏后面加上robots.txt 访问这个页面 f1ag_1s_h3re.php 就可以了 backup 通常后缀加上bak就是备份文件,试试? 下载了,打开之后出flag cookie 那我们就查看cookies,发现look-here,value指向一个页面,二话不说访问页面 让我们看请求头,果然有flag disabled_bu
XCTF篇:Web (新手练习)
小明师傅博客
06-09 559
1.view_source F12调出,后复制 2.robots 这里打开robots.txt 可以查看不让爬虫爬的目录 3.backup 备份文件,后缀加 .bak 下载下来 4.cookie f12,查看加载的cookie,发现在文件里 访问查看 5.disabled_button f12把disabled删了 6.weak_auth bp爆破 7.simple_php 解释 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类.
XCTF 新手 RE maze
A_dmin的博客
07-03 1598
XCTF 新手 RE maze 一天一道CTF题目,能多不能少 今天没有心思复习,于是打开XCTF想找个题目做一下,结果发现这道题目有50多天没解决,,, 想看看到底是什么题目,这么久没写,啊哈哈哈 由题目得知这个题可能是迷宫,,,,, 下载文件,用ida打开(64位) 找到主函数~,太长了不好截图,就把源码贴出来吧,源码如下: __int64 __fastcall main(__int64 a...
XCTF篇(新手练习Web之xff_referer
qq_43230425的博客
09-20 650
XCTF篇(新手练习Web之xff_referer 题目: 打开场景后为: 根据题目提示,简单了解一下xff和referer: HTTP来源地址(referer,或HTTP referer) 是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。 X-Forwarded-For(XFF) 是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的H
XCTF新手Crypto writeup
克格莫(有需要的私信)
06-30 894
1.base64 直接拿去base64 decode就行:cyberpeace{Welcome_to_new_World!} 2.Caesar 这题凯撒密码。 分别设置位移量为1-25,输出25条结果后看到位移量为12时有意义,故位移量为12:cyberpeace{you_have_learned_caesar_encryption} ...
XCTF-RE】新手练习-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
XCTF web新手练习_1-12
H4ppyD0g的博客
07-15 2403
view_source 查看网页源码的方法: (1) F12(如果只按F12没反应,就功能键+F12)可以查看网页源码。 (2) 网页源码的url以view-source: 开头。在本网页的url前面加上这个可以获取。 (3) 通过python的requests.get()可以获取网页源码。 ———————————— get_post ...
week4——web x2
w
10-04 141
1、Disabled_button 按钮点不动,查看网页源代码: 定位到按钮并点击"Edit as HTML" 发现 disablesd="" 猜测其令按钮无法点动,尝试删除 发现按钮能点击了,得到flag 2、xff_referer 题目: (1) xff X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的...
Webx2源码序列图
走自己的路
04-11 847
1.webx2完整请求流程 2.webx2web层与spring的整合流程
XCTF的simple_js
小白渣的博客
09-27 1067
打开之后,直接查看源代码,发现一串JS代码 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab2 = pass....
攻防世界-web-新手题解
weixin_43486981的博客
08-23 1147
文章目录view_sourceget_postrobotsbackupcookiedisabled_buttonweak_authcommand_execution(命令执行)simple_phpxff_refererwebshellsimple_js view_source 查看网页源代码的方式有4种,分别是:1、鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了;2、可以使用快捷Ctrl+U来查看源码;3、在地址栏前面加上view-source,如view-source:https://ww
JavaScript中的split()方法
hl18730262380的博客
10-23 869
split()方法 stringObject.split(separator,howmany) 描述 separator 必需。字符串或正则表达式,从该参数指定的地方分割 stringObject。 howmany 可选。该参数可指定返回的数组的最大长度。如果设置了该参数,返回的子串不会多于这个参数指定的数组。如果没有设置该参数,整个字符串都会被分割,不考虑它的长度。 例子 在本例中,我们将按照不...
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
对url路径中的参数进行加密--Java
weixin_30522183的博客
08-27 1618
需求: 后台对一些比较敏感的参数进行数据加密,然后在传送到前端。当前端跳转到后台时,再由后台对其进行解密。 参考 针对url参数的加密解密算法(java版) 修改:对中间的js页面加密代码改写为java package com.example.utils; import java.util.Random; import java.util.regex.Pattern; /* *功能:...
XCTF MISC 新手练习——pdf writeup
haolovejin的博客
09-23 8880
pdf 难度系数:1.0 题目来源: csaw 题目描述:菜猫给了菜狗一张图,说图下面什么都没有 题目场景: 暂无 题目附件: 附件1 打开图片 发现什么也看不出来,但是根据题目提示应该藏在图片之中,复制的时候首先移动下光标,到有字的地方会变形。确定大概范围,拉到全部的文本,复制到TXT中即可得到Flag。当然我们也可以通过修改文件为TXT直接获得flag,正常一点的做法应该是用winhex把长...
Linux命令之 - split
Bossen的学习历程
10-10 2062
split命令可以按照指定的方式将文本文件分割成多个子文件,下面就来详细说明下其用法。 1. 用法:split [选项]… [ 输入 [前缀]] 若不指定任何参数,则以1000行大小为单位对原始文件进行分割,分割后生成的子文件以xaa、xab、xac、……xaz、xba、xbb这样的形式命名。 2. 参数详解: -a:用来指定分割成的子文件文件名的后缀长度,默认长度为2。 --suffix-le...
2020-12-22
墨渊的博客
12-22 356
一、攻防世界 web 新手题 1。第十二题:考察JS代码审计 2.解题报告: 这个dechiffre()函数不管输入什么结果都是一样的,也就是说这是个干扰项,那密码还能在哪呢?下面一串16进制编码。 <script type="text/javascript"> function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值