攻防世界Web新手区部分解

最新推荐文章于 2024-06-04 10:54:58 发布
最新推荐文章于 2024-06-04 10:54:58 发布
阅读量562 收藏 10
点赞数 5
文章标签: web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51334923/article/details/120865193
版权

好,鸽了这么旧,学业繁忙的我就出一篇简单的攻防世界Web新手区的WriteUp吧,顺带作为自己的复习笔记。

攻防世界 (xctf.org.cn)

5Ml9Hg.png

uploading.4e448015.gif

转存失败重新上传取消

5Ml9Hg.png

攻防世界,一大CTFers的网站,上面有在线靶场以及竞赛等资源,推荐初学者上去学习。

我们今天看一下Web新手区的一些WP吧!

1.view_source

5MlubF.png

基础的第一关,却是后面无数关的基础。

作为一个Web手,查看网页源代码是必须会的一件事情!!

点进网页一看:

5Mls2t.png

  1. flag不在这里,那应该在源代码里。

  2. 你可以鼠标右键点击选中查看源代码或是直接按住F12查看源代码!

5M1SR1.png

cyberpeace{ac663108a3ddfa45faa8fac4ed963ece}

  1. 这样,就可以直接看到flag了,直接复制粘贴,就通过第一关了!!

2.robots

5M3AXV.png

如果以前有用python写过网络爬虫的话,相信肯定不会对robots.txt陌生。

它最直接的作用就是告诉爬虫们,哪些可以爬,哪些不可以爬。

robots.txt是一个协议,而不是一个命令。

需要注意的是:

  • User-agent:* 代表所有的搜索引擎种类

  • Disallow:禁止爬寻目录

  • Allow:允许爬寻目录

  • Sitemap:网站的地图

5M8Su6.png

  1. 看,直接在网址后面加个访问robots.txt。

  2. 就出来disallow的内容,再直接把robots.txt删掉,在后面加上f1ag_1s_h3re.php。

5MG8oD.png

cyberpeace{dfd27487cbf007ab6e0b0cb365766360}

  1. 就可以得到flag了,你就通过第二关了!!!

3.backup

5MGTkF.png

看到题目描述,x老师忘记删除备份文件了!

并且:

5MJCfH.png

这么一大坨文字摆在这里了!!

那我们还是来了解一下备份文件吧!

备份文件的后缀一般为

  • .git

  • .svn

  • .bak

  • .swp

  • .~

  • .bash_history

  • .bkf

那我们直接一个个去试吧,不过记得.git备份文件一般是在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等。在发布代码的时候,把.git这个目录没有删除,直接发布了。使用这个文件,可以用来恢复源代码。

而bash_history通常是记录Linux下的用户的命令历史记录。

.swp一般是编辑文件时产生的隐藏文件,它是一个临时交换文件,用来备份缓冲

最低0.47元/天 解锁文章
逼疯了的代码
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
攻防世界 web新手练习WP(超新新手!)
寻同学的博客
08-26 956
攻防世界 web新手练习WP(超新新新手!)(持续更新中) 看了看自己的博客,发现最近几年学什么发什么博客都是半途而废????,怎么肥四哇,给自己一个差差差评。 最近工作需要,又开始了新的一波学习。开始在攻防世界上面刷一些最简单最基础的题目,在这边记录一下吧,希望这一次的学习和记录能多坚持一段时间鸭~~ 以下为正文: 1.view_source 打开题目场景链接后如下图 按F12查看源代码,如下图 可以直接看到flag为cyberpeace{bcfce52ec705e8a28365b795cbd93
中国首届医院网络安全攻防演练Web部分真题
07-13
中国首届医院网络安全攻防演练Web部分真题,厦门站。一个WEB站点 源码。
攻防世界——Web新手练习
weixin_65049289的博客
12-18 826
攻防世界——Web新手练习
攻防世界XCTF-MISC入门12题题报告
最新发布
wholeliubei的博客
06-04 1056
如果你也想学习:黑客&网络安全的零基础攻防教程MISC属于CTF中的脑洞题,简直就是信息安全界的脑筋急转弯。你说它渣,它也有亮点,不好评说。这块最亮眼的入门题就属隐写术,出题人骚的狠。但是我感觉未来其中一个重点,就是大数据安全,从海量流量中捕获恶意流量,比如流量中有一个常见的OWASP10攻击,flag就藏在恶意流量里面,找到攻击就找到flag。准备大年30晚上把这块吃掉。写文章不容易,求三连。
攻防世界-web新手
hanqdi_的博客
02-18 344
view_source 根据题目描述,要查看一个网页的源代码,按照之前的操作,要么右键-》查看源代码,要么按f12查看源代码,这里鼠标右键不管用了,就按f12(Mac里按command+option+4) 还可以根据题目提示,view_source,可以用view-source指令查看源代码:view-source:网址 例如: robots 根据提示,用到robots协议。 什么是robo...
攻防世界 web 新手
m0_51357657的博客
03-07 175
cookie weak_auth simplejs webshell COOKIE 根据题目提示先查看cookie 查看cookie.php 根据提示查看请求头 weak_auth 常见用户名admin+随便输个密码,抓包,发给测试器 提示:用字典 到github上下载字典,load字典 在需要爆破的地方添加符号 作为一个几乎没做过web的废物。。一开始发POST没有加Content-Type: application/x-www-form-urlencoded。。。。我tcl。。 找到返回长.
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界web新手
lceFIre的博客
08-31 615
攻防世界web新手第一题view_source第二题get_post第三题robots第四题Backup第五题cookie第六题disabled_button第七题simple_js第八题xff_referer第九题weak_auth第十题webshell第十一题command_execution第十二题simple_php 第一题view_source f12查看源码 第二题get_post ...
攻防世界web新手练习
aitong的博客
12-01 228
1.view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 既然右键用不了那就F12 cyberpeace{4922db51c2b36d019e03524f9024e2a7} 2.robots X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 Robots协议属于典型的“君子协议”,它的目的是告知网络爬虫的编写者,哪些数据是可以被收集的,哪些数据是不能被收集的 robots协议在网站url后加/rob
攻防世界WEB新手
luckysquirrel的博客
08-07 372
攻防世界WEB新手 小菜鸡,记录ctf题,欢迎大家评论,提建议 这里写自定义目录标题) 1.view_source F12 2.get_post Get 在网页后面输入index.php?a=1; 然后使用firefox 插件 Hackerbar, 输入b=2 post,execute,得到结果 3.robots 根据提示在网址后面输入/robots.txt (爬虫协议) robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可
攻防世界WEB新手 -- 全
weixin_51075988的博客
11-26 276
攻防世界web新手 第一题 : view source 查看页面源代码正常情况下右键即可 而本题右键是无法使用的,那么查看源代码的途径有哪些呢? 1、鼠标右键,查看页面源代码; 2、Ctrl+U 查看; 3、Shift+Ctrl+I 或者是直接按 F12 调用开发者工具查看; 4、使用burp抓包查看; 得到flag 第二题 : robots Robots协议: robots协议也叫robots.txt(一些系统中的URL对大小写较敏感, 所以robots.txt的文件名统一为小写)是一
攻防世界web新手攻略
weixin_44638133的博客
08-10 524
请求
攻防世界新手Web(一)
qq_45746876的博客
11-10 544
文章目录前言题目以及题过程1.view_source2.robots3.buckup4.cookie5.disabled_button6.weak_auth小结: 前言 最近发现自己在安全方面确实很薄弱,害,说来惭愧,作为一名信安学子,对于CTF的兴趣却十分有限。与自己的内心经过五分钟的漫长斗争之后,决定还是要好好做安全的,于是最近开始了CTF之旅,将自己的一些踩坑经验分享出来。 本篇文章主要是对攻防世界新手Web题的wp,一些题目可能存在一题多,分享出来的是本人在做题时的做法。 参考:https:
攻防世界-web-新手练习(4)-command_execution
wyj_1216 House
07-02 2530
题目 Writeup 因为是ping,所以尝试 ping 127.0.0.1 可以正常执行 尝试命令拼接执行 127.0.0.1 && ls 可以正常执行 尝试找到所有的.txt文件(这里是参考大佬思路) 127.0.0.1 && find / -name "*.txt" 发现flag.txt 于是打开flag.txt文件,得到flag 127.0....
攻防世界web新手练习详细(小白入门)
Firebasky的博客
05-06 3869
最近自己也做了一下攻防世界web题,自己作为一个小白也分享一下自己的感受理和自己的思路。 (大佬绕过) 话不多说进入正题: 1、view_source 直接F12查看源代码 2、 robots 首先理robots是什么? robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中搜索引擎网站的时候要查看的第一个文件。...
CTFweb新手攻防题心得
"CTFweb新手 - 攻防世界的初学者挑战与题心得" 在网络安全领域,CTF(Capture The Flag)是一种常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等多个方面。这篇内容主要针对的是CTF中的Web安全部分,...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值