攻防世界 web方向

最新推荐文章于 2024-11-04 14:35:43 发布
最新推荐文章于 2024-11-04 14:35:43 发布
阅读量113 收藏
点赞数
文章标签: php 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xznswd/article/details/130952025
版权
文章介绍了Web安全领域的基础概念,包括robots.txt协议的用途,GET和POST请求的区别,前端中禁用按钮的处理,弱口令问题,以及PHP中的比较运算符。通过一系列简单的挑战,帮助初学者理解Web安全的基本原理。
摘要由CSDN通过智能技术生成
攻防世界 web方向
tobots 难度:一颗星

题目描述:

X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

根据题意可以知道robots协议是网站的协议,这个协议是在告诉网络爬虫即(机器人)如何访问和爬取该网站的内容,这个协议可以被成为robots.txt

  1. 点击链接进入网页

在这里插入图片描述

  1. 在后面加上robots.txt,发现Disallow: f1ag_1s_h3re.php文件

在这里插入图片描述

  1. 把后面的robots.txt更改为f1ag_1s_h3re.php,得到flag

在这里插入图片描述

get_post 难度:一颗星

题目描述:

X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

在http中有两种常见的请求方式,get和post

  • get:请求方式以查询字符串的形式向服务器请求数据,这些数据通常作为url地址的一部分

  • post:请求方式将请求参数放置在请求体(body)中,相比get更适合传输大量数据和敏感信息,post请求通常用于提交表单,上传文件等场景

  1. 点击链接进去,发现题目要求是以get方式提交变量
    在这里插入图片描述

  2. 我们可以在url的末尾加上?a=1;?在这里的作用是分隔符,得到下一个要求以post方式提交

在这里插入图片描述

  1. 接下来我们可以使用cmd提交,因为hackbar收费,不过也有其他的替代插件可以用,得到flag

在这里插入图片描述

  1. 我们也可以通过表单的方式提交,点击页面中的sumbit按钮,得到flag

在这里插入图片描述
在这里插入图片描述

disabled_button 难度:一颗星

题目描述:

X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

  1. 点击链接进去发现flag的按钮安不了,直接F12查看源码,更改属性,将disabled删掉,发现按钮可以点击了

在这里插入图片描述

  1. 得到flag

在这里插入图片描述

weak_auth 难度:一颗星

题目描述:

小宁写了一个登陆验证页面,随手就设了一个密码。

  1. 直接查看源码,并随便输入账号和密码,按login登录,发现弹窗和提示,拿到用户名为admin

在这里插入图片描述

  1. 可以先尝试几个简单的弱口令,运气好,发现密码就是123456,得到flag

在这里插入图片描述

view_source 难度:一颗星

题目描述:

X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

  1. 进入网页,发现鼠标右键不能点击,还是老样子,直接查看源码看看能不能发现什么,发现flag

在这里插入图片描述

baby_web 难度:一颗星

题目描述:

想想初始页面是哪个

  1. 根据题目想到初始页面应该是index.php,在url后面把1.php更改为index.php以后,发现还是会跳转为1.php,但是输入login.php则是网页报错
  2. 按F12进入开发者模式,使用网络模块,再次更改一下url为index.php,查看index.php,发现flag,也发现响应头的location重定向的是1.php页面,怪不得输入index.php会自动跳转到1.php

在这里插入图片描述

simple_php 难度:一颗星

题目描述:

小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

题目所用到的原理:

php中有两种比较符号:

  • === 会同时比较字符串的值和类型
  • == 会先将字符串换成相同类型,再作比较,属于弱类型比较
  1. 进入场景发现是php代码,这个时候我们仔细来分析一下这几行代码,发现需要以get方式传递两个参数a和b;

a参数的要求是a必须等于0,且a为真

b参数的要求是,不能为数字,且大于1234

在这里插入图片描述

  1. 我们可以先输入/?a=a 获得flag1
    在这里插入图片描述

  2. 再输入a=a & b=1235a,得到flag

十七楠楠
关注
ctf攻防世界web方向,基础题详解.1
weopenear的博客
04-24 677
本题在百度文库有 robots.txt 是搜索引擎中访问网站的时候要查看的第一个文件,一般而言 robots.txt 文件告诉蜘蛛软件在服务器上面什么文件是可以被查看的。第一题: 这题很简单,在_获取在线场景_后,点开题目网址,按住f12就可以查看网页源码,就可以容易看到flag,cv复制就可以获取flag。第二题: robots协议,一般ctf比赛中,会遇到很多自己不太会,不太懂的协议,一般会在网上查询一些,如下图所示,按照百度文库查看robots.txt 文件。
CTF攻防世界 WEB方向 新手练习区 题解
赤道吻雪的博客
01-26 4388
CTF攻防世界 WEB方向 新手练习区 题解NO.1 view_sourceNO.2 robotsNO.3 backupNO.4 cookieNO.5 disabled_buttonNO.6 weak_auth NO.1 view_source 显示的是这样↓ 题目很简单,提示右键不能使用,直接F12,查看源代码,得到flag cyberpeace{5fd8262428f57d34cf722...
攻防世界web新手题总结
drimary1的博客
09-13 264
web新手题一共有12道题,分别是一、view_source二、robots view source robots backup cookie disabled button weak auth simple php get post xff referer webshell command execution simple js 一、view_source 查看网页源代码的方式有4种,分别是: 1、鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了; 2、可以使用快捷Ctrl+U来查看.
2024年网络安全最新攻防世界Web题 - unseping 总结_unseping攻防世界
2401_84302722的博客
05-01 363
【代码】2024年网络安全最新攻防世界Web题 - unseping 总结_unseping攻防世界
攻防世界web方向新手区部分题目的解题思路
EVANGELION_01a的博客
11-10 159
涉及PHP2、backup、weak_auth、simple_php、baby_web
攻防世界webphp2
2301_80115024的博客
12-13 65
题目为php2,说明这道题为php方向的,加上/index.phps。可知我们需要以get的方式输入一个id,这个id经URL加密后得到。解密一次输入后显示错误,试试弄两次。解密两次后的码输入得到flag。我们打开bp对它进行解密。
[攻防世界CTF|web方向]第二题:PHP2
weixin_70825534的博客
07-24 630
phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。index.php是一个常见的文件名,通常用于web服务器网站中的根目录下,在web应用中,index.php通常是网站的入口文件,它包含了处理用户请求的代码,与数据库进行交互并生成页面的相关内容等,同时它也是连接后端逻辑和前端界面的桥梁之一。第二行检查通过 URL 传递的 'id' 参数的值是否等于 'admin'。4.开始分析得到的语句。
攻防世界——Web新手练习区
weixin_65049289的博客
12-18 1136
攻防世界——Web新手练习区
攻防世界 baby——web writeup
m0_73605862的博客
05-07 554
Step4:将抓包得到的发送到repeater,右键点击send to repeater。然后将1.php修改为index.php ,然后点击send进行发送,得到flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step2:输入index.php,发现自动跳转到了1.php.Step1:查看URL再根据提示,猜测是需要找到初始页面。Step3:用burpsuite进行抓包。【题目】baby_web。【思路】查看初始页面。
攻防世界 web高手进阶区 5分题(cat、bug)
闵行小鱼塘
07-26 636
继续ctf的旅程,攻防世界web高手进阶区的2分题(cat、bug)
攻防世界 web高手进阶区 4分题(fakebook、ics-04、ics-05、FlatScience)
闵行小鱼塘
07-16 605
继续ctf的旅程,攻防世界web高手进阶区的4分题:fakebook、ics-04、ics-05、FlatScience
CTF-WEB攻防世界题目实战 每日一练
2401_84297035的博客
04-28 840
index.php是一个常见的文件名,通常用于Web服务器中的网站根目录下。它是默认的主页文件名,在访问一个网站时,如果没有特别指定页面文件名,则服务器会自动加载index.php文件。在Web中,index.php文件通常是网站的入口文件。它包含了处理用户请求的代码,等,同时,它是连接后端逻辑与前端界面的桥梁之一。
基于LNMP架构搭建Discuz论坛
最新发布
2301_80286384的博客
11-04 582
基于LNMP架构搭建Discuz论坛
Unsafe Fileupload-pikachu
zhangqqa的博客
10-30 1019
安全的文件上传漏洞概述文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。
Automattic 和 Matt Mullenweg 要求驳回 WP Engine 诉讼案中的关键索赔
WP站长
11-03 855
Automattic 和 Matt Mullenweg 已提交回应,要求法院驳回 WP Engine 诉讼中的第 1-6 项和第 9-11 项指控。WP Engine 于 2024 年 10 月 18 日向北加州法院提交了一份动议,要求获得初步禁令,寻求恢复对 WordPress.org 的访问,并恢复到 2024 年 9 月 20 日的状态。作为回应,Automattic 提交了三份关键文件:驳回 WP Engine 投诉的动议、撤销动议以及反对 WP Engine 初步禁令的动议。
warmup
W286734的博客
10-30 424
查看源代码发现,source.php。访问source.php,显而易见,php代码审计。$pos。
信息学科平台系统设计与实现:Spring Boot框架
2401_85812053的博客
11-02 503
1系统概述 1.1 研究背景 随着计算机技术的发展以及计算机网络的逐渐普及,互联网成为人们查找信息的重要场所,二十一世纪是信息的时代,所以信息的管理显得特别重要。因此,使用计算机来管理基于保密信息学科平台系统的相关信息成为必然。开发合适的基于保密信息学科平台系统,可以方便管理人员对基于保密信息学科平台系统的管理,提高信息管理工作效率及查询效率,有利于更好的为人们服务。 1.2研究目的 随着互联网技术的快速发展,网络时代的到来,网络信息也将会改变当今社会。各行各业在日常企业经营管理等方面也在慢慢的向规范化和网
基于PHP的设云尘资讯网站设计与实现
程序猿麦小七
11-04 96
本系统设计是基于PHP的信息资讯网站的设计与实现,可以提供给用户便捷的平台。用PHP主流技术建设云尘资讯网站实现信息化的传播,采用THML以及CSS样式建立WEB网页,使得用户访问前端页面优美丰富,能够分享社会事迹、娱乐资讯、科学探究以及搞笑趣事等信息,充分的发挥现在信息化技术的优势,提供给用户闲暇时的阅读和了解,简单快速的获取自己想要的信息。使用到的工具和技术都是开源免费的。首页、登录注册、失物找寻、社会纪实、搞笑专栏、娱乐资讯、科学探究。网站首页、网站管理、内容管理、扩展管理、模板插件、系统管理。
PHP如何对输出进行转义
sheji888的专栏
10-31 426
PHP中,对输出进行转义是为了防止跨站脚本攻击(XSS)和其他安全问题。PHP提供了多种函数来对输出进行转义,这些函数根据输出的上下文(如HTML、JavaScript、URL等)而有所不同。在实际开发中,应该根据具体情况选择合适的转义函数,并且尽量使用现代的安全措施(如预处理语句、参数化查询)来防止常见的安全问题。对单引号、双引号、反斜杠和NULL字符进行转义,主要用于SQL查询中的字符串字面量。自动对特殊字符进行转义,使其安全地用于JavaScript中。常用于将用户输入的数据插入到HTML中。
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值