攻防世界web入门级writeup

最新推荐文章于 2024-04-14 02:59:49 发布
最新推荐文章于 2024-04-14 02:59:49 发布
阅读量242 收藏
点赞数
分类专栏: web学习入门 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52083155/article/details/119029625
版权

攻防世界web入门级writeup

1、在这里插入图片描述给出的题目链接进去,F12就可以看源码,就可以看到flag.
在这里插入图片描述2、在这里插入图片描述

了解到什么是robots
[原理]
robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。

第一步访问源代码,发现什么都没有
第二步访问robots 文件,找到有关flag 的php 文件。
在这里插入图片描述
在这里插入图片描述第三步访问flag_is_h3re.php,成功找到flag。

在这里插入图片描述3、
在这里插入图片描述

在这里插入图片描述
这道题没思路,查了一点资料

index.php文件是一个php网站首页文件,index是普遍意义上的“首页”,也就是你输入一个域名后会打开一个页面,基本上就是index.xxxx(基本上首页都不会把index.xxxx显示在url里,但也不绝对)
后面的php是“Hypertext Preprocessor”,一个脚本语言,与asp、jsp一样是用来处理网站各种事物的程序。
PHP即“超文本预处理器”,是一种通用开源脚本语言。 PHP是在服务器端执行的脚本语言,与C语言类似,是常用的网站编程语言。

备份文件:php的备份文件有两种:.php~和.php.bak

PHP备份文件

许多原理还不是很清楚,这道题在网上查看了别人的writeup,是bak文件,找到了flag。
在这里插入图片描述
4、在这里插入图片描述
cookie:Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息

没思路待做

7_an
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界-入门12-Writeup
weixin_47848880的博客
02-08 245
攻防世界入门Writeup
ctf攻防世界练习题writeup(第一部分)
Ohh24的博客
09-01 990
view source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 用火狐浏览器打开对应网站 发现无法找到对应的flag,此时可以按F12寻找相应的flag 同时,根据题目的提示,也可以搜索view-source:http://相应的网站/进行访问,寻找flag get_post 先用火狐打开相应的网站搜索 根据提示用get方式提交名为a,值为1的变量,...
【BUUCTF WebWriteUp超详细,面试大厂应该注意哪些问题
最新发布
【2023EI会议列表】
04-14 747
注意这里我直接只使用 /uplo4d进行连接时一直报错,看了好多博主但是他们也是只有这个好像,最后才试出来连接时要把所有的全写完整才能连接成功而且编码器最好使用base64进行编码,不然可能是乱码而且无法使用shell。注:这里的逻辑是先把||转换为连接操作符,注意分号隔断了前面的命令,所以要再次添加select来进行查询,这里把1换成其他非零数字也一样会回显flag。相当于构造了select *,1 || flag from Flag,这条语句执行起来相当于select *, 1 from Flag。
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8043
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
ctf 攻防世界练习题writeup(第二部分)
Ohh24的博客
09-07 821
ctf 攻防世界web2cookie新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 cookie 由题可知本题考查cookie,那么什么是cookie? 新的改变 我们对Markdown编辑器进行了一些功能拓展与
攻防世界web入门writeup
shallon的博客
02-27 1656
1.view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开网址后发现无法右键查看源代码,禁用了右键,所以我们采用按下F12查看源代码 直接获取flag cyberpeace{5bc3713cfe96d7664c09bcc842f2b8a6} 2.robots X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 打开网址发现是空白页面,于是根据题目提示robots.txt 据我所理解就是禁止爬
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
web渗透writeup
09-11
根据源码可以看到两处特别需要重视的地方,我已标红,很明显该sql语句存在注入漏洞,但是密码栏不能通过一般的注入来绕过,但是可以发现,只要满足了($row[pw]) && (!strcasecmp($pass, $row[pw])就可以拿到flag,...
攻防世界 notsequence
12-21
自己算法太菜了, 这道题的2个函数始终没看懂… 看了writeup, 杨辉三角形! 看了writeup, 自己慢慢的分析了下. 首先, check1函数. 原创文章 3获赞 1访问量 108 关注 私信 展开阅读全文 作者:B&X
[2021东华杯]Web Writeup1
08-03
[2021东华杯]Web Writeup1
web漏洞挖掘快速入门1
08-08
3. 通过 zmpap 全网爆破查询真实 ip(可靠) 4. 子域名爆破,现在越来越不靠谱了 5. 通过扫描出网站测试文件如 phpinfo,test 等配置文
攻防世界writeup
飞鱼的企鹅的博客
01-04 787
攻防世界 confusion1 第一次接触这样的漏洞,认真学习了一波 0x00题目介绍 打开是一个网站,有登陆注册功能,正中间还有一张图片(后来才知道代表php vs python) 但是点击登陆注册都显示404,就很迷了,之后又去扫描了网站,并没有发现什么有用的东西 偶然间查看页面源代码,发现了端倪 这个404界面暗藏玄机啊!但还是不知道怎么做这道题 0xo1查阅资料 其实就是查看wp…...
WriteUp】【入门攻防世界_REVERSE_hello,CTF
E_stream的分享空间
11-03 422
解决逆向的题大都需要IDA软件,没下载软件的童鞋可以去这篇博客看看: https://blog.csdn.net/re_psyche/article/details/78797689 打开可执行文件(去攻防世界REVERSE板块下载,第一题就是) 随便输入字符串,提示wrong!并且发现这个输入还是个死循环。(这点比较重要,在后面看伪代码的时候有用) 用IDA对可执行文件进行分析,我一般上来直接Shift+F12,在字符串子窗口看看有没有"可疑"的字符串。 下面是字符串界面的部分截图,可以看到第一行.
XCTF(攻防世界)—进阶web题Write Up(一)
Lemon's blog
08-20 1626
前言:这段时间做了一些XCTF的web进阶题,真的是学习到了很多知识,就来总结一下。 Cat 一开始以为是命令注入,恰好最近学习了命令注入,就先来测试一下: 输入127.0.0.1,发现是可以ping通的 输入127.0.0.1 | phpinfo() 或127.0.0.1 & net user就会显示: Invalid URL 看来命令注入的方法是行不通的(其他连接符也被过滤了,如...
[ctfshow 2021摆烂杯] WEB部分 writeup
ShenZ的博客
01-24 1008
[ctfshow 2021摆烂杯] WEB部分 writeup web签到 一行代码 黑客网站 登陆不了 1.读一些敏感文件 2.利用web.xml写jsp???? 官方的wp:https://qgieod1s9b.feishu.cn/docs/doccnC4EpMhSv1Ni6mbL7BQQdBc
攻防世界Web练习区Writeup
weixin_42831646的博客
11-07 3148
一些工具 burpsuite SwitchyOmega:Chrome用的代理插件 view_source flag: cyberpeace{c0bffec917b3e51ebf26546ac2c88e79} Writeup 这个题打开之后右键没有反应,直接F12 robots flag: cyberpeace{829baa53f19972442c21944e8205697f} 首先介绍一下Robots是做什么的 Robots简介 1 什么是robots协议? robots协议也叫robots.txt(统一
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 362
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
实验吧 WEB writeup(详细基础)
weixin_43960884的博客
07-20 3983
简单的登录题 不简单 后台登录 $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; 文件名ffifdyop就是题目的线索 做个测试 实际上原始二进制为 'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 但由于\之后的三个符号会组合成一...
攻防世界Misc新手练习区WriteUp大全
D-R0s1的博客
09-02 3967
0x01 写这篇博客的目的 对于CTF中的Misc来说,做题经验显得十分重要,而做题经验的获得很大一部分取决于刷题量。为了避免大家在刷题过程到处搜WriteUp浪费时间,现在把我的一些做题方法分享出来,希望对大家有帮助。当然,大家有更好的解决方法欢迎在评论区留言,互相学习,共同进步。 0x02 解题过程 1. this is flag 点开这个题目直接显示flag 2.ext3 a.把文件放进虚拟...
攻防世界shuffle
09-03
- *3* [攻防世界Reverse进阶区-Shuffle-writeup](https://blog.csdn.net/qq_35056292/article/details/108676766)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

7_an

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值