攻防世界-Web(新手区)练习题

最新推荐文章于 2024-06-19 09:44:13 发布
最新推荐文章于 2024-06-19 09:44:13 发布
阅读量822 收藏 1
点赞数 1
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51706044/article/details/113919258
版权
本文详细介绍了攻防世界新手区的Web题目解决方案,包括通过F12查看网页源代码、利用robots.txt、寻找备份文件、利用Cookie信息、解除disabled属性以及理解简单的PHP运用。通过这些技巧,读者可以提升Web安全基础知识和实战技能。
摘要由CSDN通过智能技术生成

文章目录

前言

在这里记录了我对于学习攻防世界-新手区Wbe题的总结。

一、view_source

在这里插入图片描述
该题通过提示可以看出需要查看网页源代码,但是采用右键的方式无法使用因此可以使用F12进行查看。
在这里插入图片描述

二、robots

在这里插入图片描述
该题的关键是robots,通过查阅发现:
robots协议即为:robots.txt在这里插入图片描述
因此需要在url后添加:robots.txt
在这里插入图片描述
根据提示将添加内容改为:f1ag_1s_h3re.php得到flag
在这里插入图片描述

三.backup

在这里插入图片描述
打开题目场景在这里插入图片描述
这个…需要上网查阅:
常见的备份文件后缀名有:“.git” 、“.svn”、“ .swp”“.~”、“.bak”、“.bash_history”、“.bkf” 尝试在URL后面,依次输入常见的文件备份扩展名。

当输入.bak即http://111.200.241.244:40794/index.php.bak后会下载一个文件打开文件得到flag在这里插入图片描述

四.cookie

在这里插入图片描述
了解一下:在这里插入图片描述
打开后无任何提示,我们这里用Burp就行抓包
在这里插入图片描述
URL后中打开cookie.php
在这里插入图片描述

打开开发者模式进行查看响应头得到flag:
在这里插入图片描述

五.disabled_button

在这里插入图片描述
通过题目的可以想到在HTML标签中的disabled属性:
disabled 属性规定应该禁用 input 元素。

被禁用的 input 元素既不可用,也不可点击。可以设置 disabled 属性,直到满足某些其他的条件为止(比如选择了一个复选框等等)。然后,就需要通过 JavaScript 来删除 disabled 值,将 input 元素的值切换为可用。

注释:disabled 属性无法与 一起使用。
因此打开网页源码找到disabled字样删除即可点击按钮得到flag
在这里插入图片描述

六.simple_php

在这里插入图片描述
根据题目提示本题考验的是简单的php运用
在这里插入图片描述
对源码分析,该题以GeT传入参数a和b。对上半段分析
:a的参数等于0并且a为真;对下半段进行分析:b的参数必须大于1234因此得到命令:?a=00a&&b=12345b在URL后添加得到flag:在这里插入图片描述

七.get_post

在这里插入图片描述
对题目进行解析,http通常由两种请求方式:GET还有post。
在这里插入图片描述
首先需要在进行get请求只需要在URl后添加上?a=1
在这里插入图片描述
采用post请求我们可以使用插件HackBar V2,只需要下载便可以使用。
安装完成后重启打开HackBar V2插件
在这里插入图片描述
第一行复制此刻网页地址:http://111.200.241.244:52052/?a=1
选择post data
下一框根据提示输入b=2即可点击执行得到flag
在这里插入图片描述

唤变
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XCTF 攻防世界 web 新手练习
XQin9T1an的博客
07-24 7493
XCTFweb新手练习题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0 0x01 view_source 题目链接:http://111.198.29.45:51846/ 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 根据题目提示和标题,我们可以...
攻防世界web新手
dogeace的博客
11-06 2056
通过自己自学了一个月的web理论知识,并对web的基本漏洞有了初步了解后,我便开始了攻防世界的刷题之旅。为了学长的任务总结知识我便写了这篇wp其中也借鉴了网上一些大佬的思路。那我们废话不多说直接进入正题。 第一题view_source 刚入CTF web 方向肯定有遇事不决,源代码的习惯,但第一题上来就发现鼠标右键不能使用,最简单的查看源代码方式被禁用了。但不慌,我们还有另一个神器,开发者工具栏,在网页上点击F12,调出即可查看源代码,flag便藏在其中。 这一题考察了我们查看源代码的方式,只要有两种解决
攻防世界XCTF-WEB入门12题解题报告
最新发布
韩束一叶子
06-19 981
WEB入门题比较适合信息安全专业大一学生,难度低上手快,套路基本都一样ailx101780 次咨询4.9网络安全优秀回答者网络安全硕士去咨询先人一步,掌握WEB安全入门诀窍,相信我,你不会后悔滴~广告WEB安全攻防入门作者 ailx10会员专享¥9.99去查看。
攻防世界---web---新手练习
gclome的博客
11-02 547
get_post
攻防世界Web新手题解
weixin_44522540的博客
02-18 1217
攻防世界Web新手题解 本周开始做攻防世界web新手的内容。 一、View_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 F12: 即可获得flag。当然也可以在地址栏前面加上view-source 二、Robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 robots 是网站跟爬虫间的协议,用简单直接的 txt 格式文本方式告诉对应的爬 虫被允许的权限,也就是说 robot.
攻防世界web新手题答案_攻防世界XCTF-WEB-新手练习(1-3)
weixin_39884100的博客
11-21 1324
第一题:view_source题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。通过描述提示发现鼠标右键不能能使用,大概是让我们不让我们查看网页源代码,可以按f12打开开发者工具进行查看,flag是:cyberpeace{ac9d97dc4b075ec9a16834300222ef10}第二题:robots题目描述:X老师上课讲了Robots协议,小宁同学却上课打...
攻防世界-WEB新手练习篇
weixin_42271850的博客
02-05 1118
简述 这一篇算是自己的第一篇博客,写的目的主要是回顾一下一个月前学习CTF中WEB方向时的相关知识。因为那时刚刚接触网络安全也刚刚接触CTF,基本一题都不会做,老是看了一下题目就去网上搜相关的writeup了。现在做完了12道初级的题目后,打算重新做一遍,按着自己学习到的思路过一遍,也算是一种积累和沉淀吧。 一、view_source 从题目就能看到提示,是需要我们去查看源代码的,但是页面...
攻防世界web新手练习 攻略
weixin_46329549的博客
02-28 421
前言 web新手题较简单,往后的分值较高的暂时做不下来。只是从中选取了几道比较有代表性的题目,不按照顺序,可以自己对照题目名称。 第一题 view_source 第一题较为简单,没什么难度,直接F12或者ctrl+u可查看源代码,获取flag。 第二题 robots 这道题主要是运用robots协议的理解,直接查看robots协议,找到flag的php访问拿到flag。(这道题用到了火狐) ...
攻防世界 WEB 新手练习 答题(1-12题解)
小哈里的博客
10-23 9162
序 传送门:https://adworld.xctf.org.cn/task/ 1、
攻防世界web新手题解(详细)
weixin_46342913的博客
08-21 9198
攻防世界web新手题解(详细) 目录攻防世界web新手题解(详细)1.View source2.get post3. robots4. back up5. cookie6. disabled_button7. weak_auth8. command_execution9. simple_php10. xff_referer11. webshell12. simple_js 1.View source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 Knowled
攻防世界web新手题(小白做题)
njh18790816639的博客
03-04 429
这里写目录标题攻防世界WEB新手题view_sourserobotsbackupcookiedisabled_button最后附上我的博客 攻防世界WEB新手题 view_sourse 第一题是最简单的,直接F12就可以了;F12是可以打开页面源代码的,也可以在设置中找到; robots 第二道题也算是简单的,网上其实有太多的题解,这个直接在网址后加上/robots.txt就行了。 百度下:robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.t
攻防世界Web新手题解(超详细)
weixin_52385170的博客
06-21 6952
Web新手题解
XCTF攻防世界web新手练习_ 6_xff_referer
热门推荐
silence1_的博客
04-28 1万+
XCTF攻防世界web新手练习—disabled_button 题目 题目为xff_referer,描述信息 根据描述信息,知道题目应该与xff和referer相关 进入题目,看到 于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123 发送请求 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.c...
攻防世界 web新手练习题解 下
weixin_46330722的博客
10-30 644
攻防世界 web新手练习题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码,我们直接来分析一下,首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
攻防世界web新手练习详细(小白入门)
Firebasky的博客
05-06 3875
最近自己也做了一下攻防世界web题,自己作为一个小白也分享一下自己的感受理解和自己的思路。 (大佬绕过) 话不多说进入正题: 1、view_source 直接F12查看源代码 2、 robots 首先理解robots是什么? robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中搜索引擎网站的时候要查看的第一个文件。...
攻防世界-web-新手题解
weixin_43486981的博客
08-23 1099
文章目录view_sourceget_postrobotsbackupcookiedisabled_buttonweak_authcommand_execution(命令执行)simple_phpxff_refererwebshellsimple_js view_source 查看网页源代码的方式有4种,分别是:1、鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了;2、可以使用快捷Ctrl+U来查看源码;3、在地址栏前面加上view-source,如view-source:https://ww
攻防世界web新手题目解析
Onlyguard的博客
04-12 1000
web新手题目解析 view_source robots backup cookie disabled_button weak_auth simple_php get post xff_referer webshell command_execution simple_js view_source 这个题就直接看页面源代码,就会发现flag robots 对robots协议有一定的了解之...
攻防世界新手模式例题(Web
2301_79688134的博客
03-18 1595
首先我们查看页面,查看前端代码发现均没有什么有效信息,由题目可知,此问题与php相关,于是我们可以看一下他的index.php文件查看时用?index.phps补充知识:phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。得到了php源码,判断此处应该是代码审计问题。这一段代码表明,经过url解码后的id不能等于admin,否则将会直接退出。
攻防世界---Web---新手模式---PHP2_攻防世界web新手题php2(1)
2401_84263434的博客
04-11 941
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
攻防世界---Web---新手模式---backup
11-11
题目描述:在攻防世界Web新手模式中,有一道名为backup的题目。该题目要求找到备份文件并获取flag。可以通过访问http://your-ip/backup/来查看备份文件,但是需要密码才能访问。我们可以通过查看网页源代码或者使用Burp Suite等工具来获取到密码。获取到密码后,我们可以访问备份文件,查看其中的内容,找到flag。 以下是获取密码和查看备份文件的Python代码: ```python import requests # 访问网页获取密码 url = 'http://your-ip/backup/' response = requests.get(url) password = response.text.split('password is ')[1].split('<')[0] # 访问备份文件获取flag url = 'http://your-ip/backup/flag.php' response = requests.get(url, auth=('admin', password)) flag = response.text print(flag) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值