攻防世界web新手练习

最新推荐文章于 2023-09-12 09:56:06 发布
最新推荐文章于 2023-09-12 09:56:06 发布
阅读量183 收藏
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyaowangchuan/article/details/109311388
版权

攻防世界新手

webshell
使用工具:菜刀
在这里插入图片描述
打开菜刀
在这里插入图片描述
右击-添加
在这里插入图片描述
添加
双击回显的网址
打开flag.txt即可得到

command_execution( command是cmd)

在这里插入图片描述

ping 127.0.0.1 | find / -name “flag*”
找到flag.txt的目录
在这里插入图片描述

ping 127.0.0.1 | cat /home/flag.txt
在这里插入图片描述

相关知识点
windows或linux下:
command1 && command2 先执行command1,如果为真,再执行command2
command1 | command2 只执行command2
command1 & command2 先执行command2后执行command1
command1 || command2 先执行command1,如果为假,再执行command2
命令执行漏洞(| || & && 称为 管道符)

find查找,不指定时,在当前目录下查找
-name c.txt 寻找名为c.txt
指定目录查找
*通配符

xff_referer
在这里插入图片描述

工具bp 或者浏览器插件modheaders
添加xff头
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
cyberpeace{0558a934293b9cf31142b6819a7131b4}
如果是Linux系统,直接用curl命令即可 curl http://111.198.29.45:41975/ --header “X-Forwarded-For:123.123.123.123” --header “Referer:https://www.google.com”

相关知识点

X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。

xff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。
格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP

referer 是http的拓展头部,作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定向请求。

wuyaoooo
关注
专栏目录
攻防世界web新手练习unseping
JIN_7X的博客
09-26 4700
这是新手区第一题?不敢想象后边的题是什么样
攻防世界 web新手练习区题解 下
weixin_46330722的博客
10-30 681
攻防世界 web新手练习区题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码,我们直接来分析一下,首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
WEB安全测试实战
软件质量优化
01-04 2933
一、常见WEB安全漏洞1、黑客技术分析2、常用黑客工具介绍3、WEB常见攻击方式 二、WEB安全漏洞检测1、HTTP安全测试2、URL查询字符串篡改、POST数据篡改、Cookie篡改、HTTP头篡改3、HTTP安全漏洞检查、常用工具、案例分析 4、跨站脚本攻击(XSS)方法、XSS原理剖析5、XSS攻防演练、案例分析6、XSS漏洞检查方法、工具、代码审查7、XSS造成的安全后果、如何预防XSS
攻防世界web新手题wp汇总
0pt1mus
02-09 1275
转载自个人博客:super.j的博客 0x00 view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 直接打开网站,F12查看源代码,发现flag:cyberpeace{d54ad4fdb3a258685cbd1fd82817c5a5}。 0x01 robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小...
攻防世界Web新手练习区(1-6)
weixin_30614587的博客
06-11 153
第一题 view_source 获取在线场景查看网页 打开页面之后首先考虑查看源代码,发现不能右击 根据题目的提示考虑使用view-source查看源代码,发现flag 第二题 get_post 获取在线场景查看网页 先使用GET方式提交a=1 提交完成之后出现了第二个要求,以POST方式提交b=2 这里使用的插件是hackbar,使用这个插件以POST方式提交b=2 提交完成之后拿...
人工智能和网络安全选哪个好?
HUANGXIN9898的博客
09-12 233
作为一个过来的人说一下,必须网络安全。我之前做人工智能,现在已经在做网络安全了。人工智能,要么根本不成熟,很难创造价值,要么成熟的已经杀成红海了。但网络安全行业完全不是那么回事,从企业到政府,普遍投入还不够。但是数字化的转型却极为迅猛,各种机构,各个行业都在上云。即使你所说的人工智能,大部分落地也要依赖云服务。这意味着网络以后会是各个企业机构的核心基础设施,不容得你不重视。与此同时,这两年网络被入侵之类的事故呈井喷式爆发增长。
攻防世界 web 新手练习
shirazawah的博客
09-08 208
目录 1.view_source 2.robots 3.backup 4.cookie 5.disabled_button 6.weak_auth 7.simple_php 8.get_post 9.xff_referer 10.webshell 11.commadn_execution 12.simple_js 1.view_source 除去右键查看源代码,还可以使用F12和网页的工具栏-更多工具-开发人员工具中查看 使用F12看到flag 2.robo...
攻防世界 web新手练习区WP(超新新手!)
寻同学的博客
08-26 1065
攻防世界 web新手练习区WP(超新新新手!)(持续更新中) 看了看自己的博客,发现最近几年学什么发什么博客都是半途而废????,怎么肥四哇,给自己一个差差差评。 最近工作需要,又开始了新的一波学习。开始在攻防世界上面刷一些最简单最基础的题目,在这边记录一下吧,希望这一次的学习和记录能多坚持一段时间鸭~~ 以下为正文: 1.view_source 打开题目场景链接后如下图 按F12查看源代码,如下图 可以直接看到flag为cyberpeace{bcfce52ec705e8a28365b795cbd93
攻防世界 web新手练习区题解 上
weixin_46330722的博客
10-29 1397
攻防世界 web新手练习区题解 上view_sourcerobots前置知识-robots协议解题backupcookiedisabled_buttonweak_auth view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 从题目描述就知道是让我们查看网页源代码,但是又说鼠标右键坏了,那么就可以f12一件查看源码 成功拿到flag robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
攻防世界WEB新手练习区(更新至11)
热门推荐
HHH's Blogs
08-09 1万+
001 view_source
[CTF学习] 攻防世界WEB练习
Only_kele_ 的博客
02-03 2587
攻防世界新手区刷题 1. view_source 这个题很明显的,只需要查看源代码就能看到 flag,但是不能鼠标右键 这里可以直接按 F12 键或者 Fn+F12 即可 也可以在URL前面加上 view-source: 查看源代码 2. robots # robots协议 1. robots协议也叫robots.txt,是一种存放于网站根目录下的ASCII编码的文本文件 2. robots.txt 文件通常用来告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器
检测到目标网站robots文件网站结构信息泄露
11-04 1177
检测到目标网站robots文件网站结构信息泄露 信息泄露:信息泄露 低 1 查看 漏洞URL: http://www.iotsoft.tk/ 详细描述: robots文件位于网站根目录下,用于标识网站的某些资源是否允许爬虫工具访问。用Allow表示爬虫工具可访问的资源,用Disallow表示爬虫工具不应该访问的资源。 但同时该文件说明了目标网站...
网络攻防闯关练习-www.hackthissite.org
gaogzhen的博客
12-31 7307
网络攻防闯关练习-www.hackthissite.org 1、网站简介   前两天无意间进入了一个叫hackthissite.org的外国网站,从字面上来理解,就是“黑了这个站点”的意思,奇怪吧,原来hacktnissite.org是一个专门提供黑客网页游戏的网站。在这里可以锻炼hacking技能——包括web入侵、程序破解、加密解密、第三方软件溢出和js脚本的相关内容,都在...
攻防世界 WEB 新手练习区 答题(1-12题解)
小哈里的博客
10-23 9258
序 传送门:https://adworld.xctf.org.cn/task/ 1、
攻防世界web新手练习 -unseping
yuanxu8877的博客
10-19 7670
新版攻防世界XCTF-web新手练习
进攻即是最好的防御!19个练习黑客技术的在线网站
AliMobileSecurity的博客
12-29 2965
进攻即是最好的防御,这句话同样适用于信息安全的世界
攻防世界web新手区题解(详细)
weixin_46342913的博客
08-21 9249
攻防世界web新手区题解(详细) 目录攻防世界web新手区题解(详细)1.View source2.get post3. robots4. back up5. cookie6. disabled_button7. weak_auth8. command_execution9. simple_php10. xff_referer11. webshell12. simple_js 1.View source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 Knowled
[yotroy.cool]自己搭建一个web漏洞练习平台,适合各水平用户使用
Troy_Zhang1112的博客
11-24 2455
前言:学习了一些理论和技能怎么能少了实践呢?自己搭建一个漏洞联系平台吧 ============================================================ 这是我自己搭建的漏洞练习平台(自己弄的空间和域名),先附上地址:https://www.phorg.cn/ 使用的Pikachu漏洞靶场系统,官网我找不到了。。。 Pikachu是一个带有漏洞的Web应用系...
Java 代码实现了一个简单的文本编辑器-可运行
最新发布
10-17
Java 代码实现了一个简单的文本编辑器
攻防世界web新手题unserialize3
05-05
题目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ...首先看到这是一个传入参数进行反序列化的题目,传入参数为 $_GET['a'],并且在反序列化后判断其类型是否为 Flag,如果是则输出 $a。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值