【攻防世界CTF|web方向】第一题:Training-WWW-Robots

最新推荐文章于 2024-07-25 23:37:00 发布
最新推荐文章于 2024-07-25 23:37:00 发布
阅读量355 收藏 10
点赞数 5
文章标签: web安全 笔记 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70825534/article/details/140654634
版权

一、解题思考过程

1.进入题目场景

 2.发现破题点:Robots_exclusion_standard

经了解发现,Robots_exclusion_standard是网络爬虫排除标准。

作用:网站告知爬虫哪些页面可以抓取,哪些不行

形式:在网站根目录下的robots.txt文件

3.尝试访问:本题目场景的网页下的robots.txt文件,得到如下界面

4.阅读该页面内容发现语句

Disallow: /fl0g.php

其中fl0g与flag形似,于是,我尝试访问该网页下fl0g.php,出现如下界面:

5.将cyberpeace{2d403aec04a2bcbc13ec21368dd734a6}提交答题框,夺旗成功!

二、复盘积累

1.做题技巧层面:有时flag会出现一些相似的变形,比如这道题中的fl0g,不要忽视了。

2.本题知识点:robots.txt

robots.txt 是一个协议,而不是一个 命令 。 robots.txt 是 搜索引擎 中访问网站的时候要查看的第一个
文件。 robots.txt 文件告诉 蜘蛛程序 在服务器上什么文件 是可以被查看的。
当一个搜索蜘蛛访问一个 站点 时,它会首先 检查 该站点 根目录 下是否存在 robots.txt ,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。百度官方建议,仅当您的网站包含不希望被 搜索引擎收录 的内容时,才需要使用 robots.txt 文件。如果您希望搜索引擎收录网站上所有内容,请勿建立 robots.txt文件。
robots.txt 不是 命令 ,也不是 防火墙 ,如同守门人无法阻止窃贼等恶意闯入者,是一个类似于君子协议的文件。
Wordsworth983
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF攻防世界 Training-WWW-Robots 解详析
等风来
05-20 3365
在这个小训练挑战中,你将学习 Robots_exclusion_standard(机器人排除标准)。robots.txt 文件是由网络爬虫用来检查是否允许他们爬行和索引你的网站或仅部分内容。
CTF-AWD-WEB:AWD 模式下的WEB仓库
05-17
CTF(Capture The Flag)是一种网络安全竞赛,其中的AWD(Attack-Defend,攻防)模式是其中一种常见的比赛形式。在这个模式下,参赛队伍不仅要保护自己的服务器免受攻击,还需要找出并解决对手服务器上的漏洞,以...
ctf-攻防世界-webTraining-WWW-Robots
一只菜鸟的博客
11-10 263
目为robots,猜测大概是考察robots.txt 打开环境后发现果然如此,还给出了一段英文介绍。百度翻译如下: 地址后加/robots.txt访问,显示一个形似flag的文件,去访问一下,出现flag 关于robots.txt: (以下内容时间久远,来源不可查,侵删) robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问...
CTF入门1攻防世界Web——Training-WWW-Robots
m0_75051044的博客
01-26 424
发现文件fl0g.php,那我们打开看看,就可以看到flag了。获取在线场景,大致意思是这道robots.txt有关。那么我们访问一下网页目录下的rovots.txt文件。
攻防世界-Training-WWW-Robots
m0_52011198的博客
02-21 304
robots.txt是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络爬虫/蜘蛛),此网站中的哪些内容是不能被搜索引擎的漫游器获取的,哪些是可以被获取的。做到这里,可以直接选择使用Yandex访问f10g.php,就可以得到flag,但是考虑到需要使用代理,可以通过burp来修改user-agent来实现访问。当robots访问一个网站时,首先会检查该网站中是否存在这个文件,如果机器人找到这个文件,它就会根据这个文件的内容,来确定它访问权限的范围。
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在网络安全领域,Capture The Flag(CTF)是一种流行的竞赛形式,让参与者通过解决各种安全来展示和提升自己的技能。本挑战专注于Web安全,特别是利用PHP语言进行实战演练。在这个"CTF-Web-Challenge"中,你将有...
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
web-ctf-help:脚本集,以帮助基于Webctfs
02-24
Web-CTF-帮助描述一组简单的脚本(目前主要为抓取器),旨在帮助Web CTF。 查找图像源(和替代项),JavaScript源和注释。用法usage: webctf [-h] [-v] [--comments] [--scripts] [--images] [--headers] [--cookies...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 995
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
微软蓝屏事件:网络安全的多维挑战与应对策略
sinner小屋
07-23 787
微软蓝屏事件,这一近期震动全球科技界的重大事件,起因于一次看似平常的软件更新。美国电脑安全技术公司“众击”发布的更新包中隐藏着一个致命的“缺陷”,这个缺陷如同潜伏的病毒,一旦被激活,便在全球范围内引发了连锁反应。近850万台设备,从个人电脑到关键行业的服务器,无一幸免地遭遇了系统崩溃,屏幕上只剩下一片冰冷的蓝色。这一事件不仅影响了日常办公,更是波及了航空、医疗、传媒等关键领域,造成了航班延误、医疗服务中断、信息传播受阻等一系列严重后果。
网络安全相关竞赛比赛
黑战士的博客
07-18 1096
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
中小企业常见的网络安全及防范措施
w651428055的博客
07-22 719
在当今数字化时代,Web应用程序已经成为企业与用户互动的主要平台,但随之而来的是日益复杂的网络安全威胁。为了保护Web应用程序免受各种攻击,Web应用程序防火墙(WAF)应运而生。本文将深入探讨WAF的概念、工作原理、分类、特点以及如何选择和部署WAF,帮助读者更全面地理解WAF在网络安全中的重要作用。
网络安全之不同阶段攻防手段(四)
子非渔
07-25 326
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
网络安全-用脚本调用系统snmpwalk命令查询并邮件报警
PanDD_0_1的博客
07-23 331
【代码】网络安全-用脚本调用系统snmpwalk命令查询并邮件报警。
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
07-25 1984
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
速盾:网络安全和 CDN 之间的关系是怎样的?
最新发布
zhuguowang01的博客
07-25 431
首先,CDN可以提供分布式的网络基础架构,帮助分散用户的请求并减少对源服务器的负载。网络安全主要涉及保护网络和系统免受各种威胁和攻击,而CDN是一种用于提供更快速、高效和可靠的内容交付服务的技术。在当今数字化和云计算时代,网络安全和CDN之间的关系变得更加紧密,共同为用户提供更好的网络体验和保护。在当今数字化和云计算的时代,网络安全和CDN的结合对于提供更好的网络体验和保护用户的信息安全至关重要。CDN可以使用身份认证和加密技术来确保用户和服务器之间的通信安全,并检测和阻止任何中间人攻击的尝试。
“微软蓝屏“事件暴露了网络安全哪些问?
程序员-张师傅
07-23 846
微软蓝屏事件,尤其是2024年7月19日发生的全球性Windows系统崩溃事件,带来了多方面的深刻教训。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值