web安全解题记录

已于 2023-02-03 11:46:38 修改
阅读量954 收藏 2
点赞数
分类专栏: web安全 文章标签: php 服务器 web安全 网络安全
于 2023-02-03 11:20:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57478708/article/details/128862642
版权

----------------------------我是分割线(以下为今天内容)----------------------------2021.10.26

查看网页源代码的方式有4种:

  1. 鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了;
  2. 可以使用快捷Ctrl+U来查看源码;
  3. 在地址栏前面加上view-source(题目名,view-source是攻防世界web第一关题目),如view-source:https://www.baidu.com ;
  4. 浏览器的设置菜单框中,找到“更多工具”,然后再找开发者工具,也可以查看网页源代码。

&&和&的区别:

表达式(1) && 表达式(2),只有表达式(1)为True时,表达式(2)才会执行。

表达式(1) & 表达式(2),无论表达式(1)为True或False,表达式(2)都会执行。

--------------------------我是分割线(以下为今天内容)--------------------------------2021.10.28

可用16进制、ascii转码

------------------------我是分割线(以下为今天内容)-----------------------------2021.10.31

Base64转码后生成的字符串一般由:0~9数字(10个)、大小写字母(26*2=52个)、+-(2个)、有时会用=来补位

xff(X-Forwarded-For):是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

Referer:HTTP来源地址(referer,或HTTPreferer)是HTTP表头的一个字段,用来表示从哪儿链接到当前的网页,采用的格式是URL。换句话说,借着HTTP来源地址,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。

 <?php phpinfo()?> 可以查看php配置信息

---------------------------------------------------------------------------

1. index.php的状态是302什么意思?

302 Found,原始描述短语为 Moved Temporarily(临时搬家) ,是HTTP协议中的一个状态码(Status Code)。可以简单的理解为该资源原本确实存在,但已经被临时改变了位置;换而言之,就是请求的资源暂时驻留在不同的URI下,故而除非特别指定了缓存头部指示,该状态码不可缓存。

2. 访问index.php跳转到1.php这种情况又是什么原理呢?

一般原网页被换地方后,有人访问该网页是会被自动定向到另一个设置好的网页,且临时URI应该由响应头部中的 Location 字段给出。我们在响应头果然发现了flag

---------------------------------------------------------------------------

根据题目要求我们学习robots协议相关知识。

robots.txt: 该协议将告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。 所以使用搜索引擎的时候通过散布spider进行获取网站内容时,spider会先检索是否有robots.txt文件,如果有,那么spider将会根据该文件中的限制进行检索。

于是我们在在线环境url后输入/robots.txt查看该文件

strstr()函数

定义:strstr(str1,str2) 函数用于判断字符串str2是否是str1的子串。如果是,则该函数返回str2在str1中首次出现的地址;否则,返回NULL。

该函数区分大小写。如需进行不区分大小写的搜索,请使用 stristr() 函数。

它返回的是:Shanghai!

-----------------------------------------------------------------------------------------------------------

1、php备份文件:后缀为php~或者index.php.bak

2、php的源代码文件:后缀为phps

(通常用于提供给用户(访问者)直接通过Web浏览器查看php代码的内容。因为用户无法直接通过Web浏览器“看到”php文件的内容,所以需要用phps文件代替。但是index.phps不接受传参)

3、

-----------------------------------------------------------------------

遍历变量id 用bp抓包爆破

--------------------------------------------------------------------

禁用js插件,刷新图片,得flag

--------------------------------------------------------------------

可以使用file()函数先将flag.php的内容存入数组,然后这个数组会被var_dump()和eval()函数输出到页面

--------------------------------------------------------------------

-----------------我是分割线(以下为今天内容)---------------2022.1.8

urldecode()函数:用于解码已编码的 URL 字符串,其原理就是把十六进制字符串转换为中文字符

羊村的美洲豹
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
爬取超星考试题目_如何使用网页源代码分析找到超星线上考试答案
weixin_39603622的博客
12-21 1万+
[HTML] 纯文本查看 复制代码.Cy_TItle p {display: block;}img {max-width: 100%;}try{$(function(){var imgList = $(".TiMu").find("div img:not(.workAttach img, .attach img, .attachNew img)");for (var i = 0, len = im...
轻松答题:用Python编写网页自动答题脚本助你高分通过
python56123的博客
11-21 1124
from selenium import webdriver —> 自动测试模块 pip install selenium==3.141.0 谷歌驱动下载地址: https://googlechromelabs.github.io/chrome-for-testing/#stable。“”“通过元素定位: 获取答案 / 进行答题操作”“”selenium -> 驱动 -> 浏览器。获取选项 -> 答案的内容和选择的进行对比。Python 3.10 解释器。
知识付费答题交互功能
weixin_64051447的博客
05-28 981
知识付费答题功能的题型都是客观题,分为单选题、多选题和判断题。 后台添加试题: 题干可以添加图片,图文题干适用于看图答题,使得出题意图更明确,有助于答题者直观感受。 目前试题的选项分为图片和文本,一道题的全部选项只能是其中一种类型。新建试题时,默认2个选项。后台动态添加试题选项使用的LayuiForm模块。动态添加答题选项的主要代: 如上图所示,使用v-for指令循环options选项数组。options数组保存添加的选项数据。 单选题和多选题必须1-10个选项,判断题必须2个选项。 如上图...
基于PHP+MySQL+Apache在线考试管理系统(附源码)
热门推荐
m0_46179473的博客
11-13 1万+
提供用户(学生&教师)登录,用户权限(分教师与学生端),教师出卷子,学生写卷子。学生答题后显示答案与分数,并记录在历史成绩中(教师查看),提供教师二次批改试卷
一个页面实现批量查网课答案
最新发布
weixin_48005690的博客
06-16 341
这段代码是一个简单的网页应用,使用了 Vue.js 和 Element UI 库,用于查询一组问题的答案并显示结果。总体来说,这段代码实现了一个简单的前端页面,用户可以输入问题并查询答案,同时展示加载过程和查询结果。方法用于处理用户点击“查询答案”按钮的事件。方法用于清空输入框和答案列表。
QAX答题页面js逆向分析(二)
qq_44894994的博客
09-08 3253
继上一篇博客,主要讲解了页面分析的思路,没有什么可以实操的代码,因此在此继续开启一篇代码实现的文章,具体实现思路,参考上一篇博客:QAX答题页面js逆向分析(一)即可提示:以下是本篇文章正文内容,下面案例可供参考这次测试,基本能够达到了最初的答题满分的目的,也在一定程度上对自身掌握技术的重新认识,有了更好的前进方向。对于常见数据加密方式认识不足,需要恶补抓包工具使用不熟练,只局限普通的http请求,没能最大化发挥工具的作用。
Answer:移动端的考试系统源码,实现做题,实现做题,查看解析,提交答案的流程操作,采用任务栈的形式表现做题原理。题都是通过写死的,在后续的维护中将通过构建后台服务器,显现动态做题,以及不同学科的做题,当然,也是开源的,喜欢的小伙伴也可以继续关注,有你想不到的以为哦
03-22
回答 android考试系统原始码,模拟考试答题欢迎星,本系统总体版本是离线版本,模拟做题都是通过写死的,在后期的维护中将通过构建后台服务器,展现动态做题,以及不同学科的做题,当然,也是开源的,喜欢的小伙伴也可以继续关注,有你想不到的以为哦。 后台服务器 后台服务器是后续开发的功能,项目地址在本中,在1.0.101-dev分支上的答案子模块中,其他来源是作者最得意的工程之一-----基于netty的游戏后台服务器基本网络框架,当然,研究者的同学可以看看。 详细功能参考博客 交流学习 作者qq 1029718215群239545950 2018年6月25日由于很多小伙伴反馈,需要配置数据库回调来实现动态答题功能,好吧,我今天开始将继续继续更新这个项目,大概一个月的时间,完成实现配置译文数据源,动态加载译文数据
ctfshow-VIP题目-Web-详细解题思路
01-27
VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、域名txt记录泄露、敏感...
web后端开发-实现web端线上答题程序
05-15
综上所述,实现web端线上答题程序的后端开发涵盖了用户认证、数据库设计、API接口开发、数据验证、错误处理、安全性以及性能优化等多个方面。每一个环节都需要细致的规划和实施,以确保系统的稳定性和用户体验。通过...
ctfhub web全部做题记录(持续跟新)
01-08
【CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全Web安全是网络...
提取网页源代码
08-20
提取网页源代码,能够正确把网页字符信息解析出来
2022第二届网刃杯网络安全大赛 MISC-玩坏的winxp 详细解题过程。
04-25
本文主要讲述了参加2022年第二届网刃杯网络安全大赛MISC类别中“玩坏的winxp”解题的过程,这是一道涉及Windows XP系统、数据恢复、文件隐藏与加密的综合题目。难度系数为4.0,挑战者需要具备一定的网络安全技能,...
BSS.rar_application web php
09-23
8. **错误日志与调试**:良好的错误处理和日志记录机制有助于开发者快速定位和解决问题,保证系统的稳定运行。 9. **版本控制**:使用Git进行版本控制,便于团队协作和代码管理。 10. **自动化部署**:可能通过...
python处理word文档,如何提取文档中的题目与答案
jakelihua
04-06 1841
python处理word文档,如何提取文档中的题目与答案
刷课必备!用Python实现网上自动做题
一名正义的白帽黑客
12-26 1692
刷课必备!用Python实现网上自动做题
UMU解析答案
博客
03-03 6519
花几个小时研究出来了UMU解析出答案的方法 两个文件: browser.js是浏览器油猴插件,用于给UMU增加文本 main.py是解析答案用的Python程序 先来看看效果 GIF: 单选效果: 多选效果 首先我们先整理一下思路: 早期UMU答案直接放在ID是__pageDataTemplate__的一个<script>中 可以直接解析出答案 脚本代码如下: // ==UserScript== // @name UMU答案解析(已过时) // @namespace Violentmo
IE10开发人员工具详解
∧︵∧全世界的屋顶 ∧︵∧
05-08 1604
现在网上关于IE10的开发人员工具并没有详细的中文资料,所以许多开发人员对IE10提供的开发人员工具知之甚少。但是IE10的开发人员工具功能强大,非常值得广大开发人员,甚至IE10的普通使用者学习使用。因此,本文将尽力介绍IE10的开发人员工具、其使用方法及其优缺点。         IE10开发人员工具是一个轻量级的开发调试工具,其菜单项包括:文件、查找、禁用、查看、图像、缓存、验证、浏览器模
python实现随机抽取答题_如何用python编写一个程序随机从题库抽取题目并显示答案?...
weixin_39863371的博客
11-20 1546
from tkinter import *from tkinter import scrolledtextclass GuessGui:def __init__(self, title):self.root = Tk()self.root.title(title)self.root.geometry('800x600')def build_menu(self):root_menu = Menu(s...
CTFHub 平台Web挑战解题分析
"ctfhub平台上的Web挑战解题思路,包括备份文件、vim缓存、.DS_Store、git和stash的利用,以及hg版本控制系统的利用来获取flag。" 在网络安全竞赛(CTF,Capture The Flag)中,Web部分常常涉及到对网站源码、配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值