攻防世界 Web新手练习区题解

最新推荐文章于 2024-02-04 11:39:29 发布
最新推荐文章于 2024-02-04 11:39:29 发布
阅读量865 收藏 1
点赞数
分类专栏: ctf 文章标签: php html asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45208900/article/details/106600705
版权

01 view source

字面意思 直接看源代码
F12或ctrl+u 直接拿到答案

02 get post

构造get请求:/?a=1
在火狐浏览器安装hackbar
然后post传参b=1即可

03 robots

我查了一下robots协议
大概意思就是 相当于一扇请勿打扰的门 原则上 对方不希望被访问
但是可以被访问
所以我直接在url后面加/robots.txt访问到答案了

04 backup

这似乎是一个经典漏洞了 经过我的各种查资料发现 这个漏洞大概是这样的

利用条件:
web server: apache
漏洞原因:
apache 不认识bak 直接当php执行.
www.url.com/install/index.php.bak?insLockfile=1

老实说没太懂
.bak就是备份文件 文件格式扩展名
所以 我在url后面加了一个后缀/index.php.bak
然后突然下载了这个文件
用记事本打开 拿到了答案

05 cookie

用火狐浏览器先抓包 发现提示look-here=cookie.php
在url后面加上后 再次抓包 发现flag

06 disabled_button

把disabled的dis去掉即可 前端知识

07 weak_auth

爆破可能需要一年(bushi
但是如果直接试试123456 你就进去了 。。。

08 command_execution

先找flag
127.0.0.1&&find -name “flag
找到后用cat命令打开
127.0.0.1&&cat /home/flag.txt

09 simple_php

用== 在进行比较的时候,会先将字符串类型转化成相同,再比较
a=0a&b=5555a这样传参即可
进行比较时会忽略掉字母

010 xff referer

伪造一下xff和referer
我用modheader进行伪造了
在这里插入图片描述
刷新页面后拿到答案

011 webshell

直接用中国蚁剑进行链接

相关知识
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

012simple js

ctrl+u查看源码

<html>
<head>
    <title>JS</title>
    <script type="text/javascript">
    function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
        var tab  = pass_enc.split(',');
                var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;
                        k = j + (l) + (n=0);
                        n = tab2.length;
                        for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i]));
                                if(i == 5)break;}
                        for(i = (o=0); i < (k = j = n); i++ ){
                        o = tab[i-l];
                                if(i > 5 && i < k-1)
                                        p += String.fromCharCode((o = tab2[i]));
                        }
        p += String.fromCharCode(tab2[17]);
        pass = p;return pass;
    }
    String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

    h = window.prompt('Enter password');
    alert( dechiffre(h) );

</script>
</head>

</html>

\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30

把这里解码得到一串数字按字符输出拿到一串字符为答案

qwq 233
关注
专栏目录
Web 攻防世界新手题解
yunwang0421的博客
12-15 599
1.view_source:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 本打开网页查看源代码即得到flag 2.robots:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 本看提示robots协议,就在地址栏后面跟上robots.txt, 可以看到第三行,即地址栏修改为f1ag_1s_h3re.php, 3.backup:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 本需要知道备份文件的
攻防世界 web新手练习题解
weixin_46330722的博客
10-30 676
攻防世界 web新手练习题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 目直接给出了源码,我们直接来分析一下,首先目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
攻防世界web新手答案_攻防世界XCTF-WEB-新手练习(1-3)
weixin_39884100的博客
11-21 1349
第一:view_source目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。通过描述提示发现鼠标右键不能能使用,大概是让我们不让我们查看网页源代码,可以按f12打开开发者工具进行查看,flag是:cyberpeace{ac9d97dc4b075ec9a16834300222ef10}第二:robots目描述:X老师上课讲了Robots协议,小宁同学却上课打...
攻防世界Web新手题解(超详细)
weixin_52385170的博客
06-21 7114
Web新手题解
攻防世界 WEB 新手练习(1-12题解
小哈里的博客
10-23 9244
序 传送门:https://adworld.xctf.org.cn/task/ 1、
攻防世界 web新手练习题解
weixin_46330722的博客
10-29 1394
攻防世界 web新手练习题解 上view_sourcerobots前置知识-robots协议解backupcookiedisabled_buttonweak_auth view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 从目描述就知道是让我们查看网页源代码,但是又说鼠标右键坏了,那么就可以f12一件查看源码 成功拿到flag robots 目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
(入门)攻防世界-Web新手练习题解
D_crab的博客
09-18 1402
攻防世界-Web新手练习题解 第① view_source ⑴打开目场景,提示’flag is not here’,于是右键查看源代码,发现右键不起作用。 (2)为了查看源代码,这时候就需要用到 火狐 浏览器里面的 hackbar 了。 (HackBar 是火狐浏览器的一个插件,具体的添加步骤某度上有) ▲在添加完HackBar之后如何打开它呢? 按 Fn +F12就可以打开啦! 打开 HackBar 之后用 查看器 查看源代码就发现了 flag,这道就解决啦!恭喜恭喜 ...
CTF攻防世界 WEB方向 新手练习 题解
赤道吻雪的博客
01-26 4382
CTF攻防世界 WEB方向 新手练习 题解NO.1 view_sourceNO.2 robotsNO.3 backupNO.4 cookieNO.5 disabled_buttonNO.6 weak_auth NO.1 view_source 显示的是这样↓ 目很简单,提示右键不能使用,直接F12,查看源代码,得到flag cyberpeace{5fd8262428f57d34cf722...
攻防世界-Web进阶-warmup题解
Jollowin的博客
11-26 855
warmup题解 我们进入到目界面会看到一张猥琐的笑脸,假装没看到他直接按F12。 这里我们发现了一条线索:source.php。 好家伙,那我们不妨到source.php看一看: 进行代码审计,初步发现我们可以提交一个名为file的变量,若变量file的值为source.php或hint.php则会执行include $_REQUEST[‘file’]。 那我们不妨令file=hint.php看一看。 1.如上图我们发现底部出现了一行提示,那我们现在的目的就变成了让 include $_REQUE
攻防世界web新手部分题解
qq_73390155的博客
05-19 840
攻防世界web新手模式部分题解
robots.txt详解 蜘蛛文件
lixiuran1205的专栏
08-09 791
学SEO的好好看看吧。   robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。 在进行网站优化的时候,经常会使用robots文件把一些内容不想让蜘蛛抓取,以前写过一篇网站优化robots.txt文件的运用, 现在写这编文章在补充一点点知识! 搜索引擎通过一种
攻防世界web新手题解(详细)
weixin_46342913的博客
08-21 9244
攻防世界web新手题解(详细) 目录攻防世界web新手题解(详细)1.View source2.get post3. robots4. back up5. cookie6. disabled_button7. weak_auth8. command_execution9. simple_php10. xff_referer11. webshell12. simple_js 1.View source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 Knowled
攻防世界web新手目解析
Onlyguard的博客
04-12 1010
web新手目解析 view_source robots backup cookie disabled_button weak_auth simple_php get post xff_referer webshell command_execution simple_js view_source 这个就直接看页面源代码,就会发现flag robots 对robots协议有一定的了解之...
攻防世界-web-新手题解
weixin_43486981的博客
08-23 1126
文章目录view_sourceget_postrobotsbackupcookiedisabled_buttonweak_authcommand_execution(命令执行)simple_phpxff_refererwebshellsimple_js view_source 查看网页源代码的方式有4种,分别是:1、鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了;2、可以使用快捷Ctrl+U来查看源码;3、在地址栏前面加上view-source,如view-source:https://ww
攻防世界Web新手题解
weixin_44522540的博客
02-18 1235
攻防世界Web新手题解 本周开始做攻防世界web新手的内容。 一、View_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 F12: 即可获得flag。当然也可以在地址栏前面加上view-source 二、Robots 目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 robots 是网站跟爬虫间的协议,用简单直接的 txt 格式文本方式告诉对应的爬 虫被允许的权限,也就是说 robot.
攻防世界web新手
2301_80050903的博客
11-09 219
这是一个php代码片段,其中的urlcode()是用于解码url编码字符串的,我们需要将admin进行转换,即进行URL编码,但是由于浏览器会进行url解码,所以我们需要进行2次url编码。首先打开攻防世界,在库中找到web,打开新手模式,点击php2,然后加载场景,加载出来后点击网址进入目页面。打开burpsuit,再打开decoder,先输入我们需要编码的admin,会出现以下界面。发现会自动保存一个文件,用记事本打开,会发现flag,将flag输入,此得解。
攻防世界web新手题解
最新发布
2301_76968724的博客
02-04 1690
目提示查看源代码:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。对于其提示FLAG is not here.我们按照提示:查看网页的源代码F12得到了flag: cyberpeace{3b90da0b692456072b74f6dfe31e06e6}
Wirte-up:攻防世界Web过程新手01-06
看那白熊
02-10 1145
温故而知新,如果学了就忘,那和不学就没啥别对不对
攻防世界web新手总结
drimary1的博客
09-13 260
web新手一共有12道,分别是一、view_source二、robots view source robots backup cookie disabled button weak auth simple php get post xff referer webshell command execution simple js 一、view_source 查看网页源代码的方式有4种,分别是: 1、鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了; 2、可以使用快捷Ctrl+U来查看.
攻防世界fileinclude题解
10-10
攻防世界的fileinclude目是一个常见的Web安全目,主要考察文件包含漏洞。文件包含漏洞是指在Web应用中,未对用户输入进行充分的过滤或验证,导致攻击者可以通过构造恶意的文件路径或文件名,来读取或执行本不应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值