攻防世界—web(练习区)

最新推荐文章于 2024-04-19 01:12:30 发布
最新推荐文章于 2024-04-19 01:12:30 发布
阅读量465 收藏
点赞数
分类专栏: Web及Misc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxl_d/article/details/100375345
版权

前记

做题平台:攻防世界
平台地址https://adworld.xctf.org.cn/
做题工具:Firefox

web1.view_source


拿到题目链接打开后发现右键不管用了
于是乎在Firefox上打开web开发者中的web控制台,可获得flag

web2.get_post


在Firefox上打开插件hackbar,用get方式传递a=1

勾选hackbar上的Enable Post data,用post方式传递b=2,可获得flag

web3.robots


打开题目链接一片空白

百度了解下robots协议

于是乎

然后再一步获得flag

web4.backup


打开题目链接输入备份文件名

下载并打开获得flag

web5.cookie


在Firefox上打开题目链接,以及web开发者工具,刷新后在存储一栏,可看到名为look-here的cookie的值为cookie.php

访问http://111.198.29.45:47911/cookie.php,提示查看http响应包,在网络一栏,可看到访问cookie.php的数据包,获得flag

web6.disabled_button


在Firefox上打开题目连接,以及web开发者工具查看源码

发现disabled标签(disabled 属性规定应该禁用 input 元素。被禁用的 input 元素既不可用,也不可点击)所以删掉就可以点击获得flag

7.simple_js


打开题目链接就发现让输入密码

随便输入个,查看源码发现无论输入什么都是错的,以及一串十六进制

十六进制转十进制,然后对照asccii码表得到flag,注意格式就好

8.simple_php


打开题目链接

php中=== 会同时比较字符串的值和类型,== 会先将字符串换成相同类型,再作比较,比如1235A可以被判定为数字型。看php代码会发现同时满足 $a==0 和 $a 时,显示flag1。所以令 a=ad 或者a=adc都行

同理令a=ab&b=1235A,得flag2

后记

Firefox及一些其他工具还是很方便的,再接再厉,基础题了解积累些基础知识。

yxl_d
关注
专栏目录
【网络安全 | CTF】攻防世界 disabled_button 解题详析
等风来
05-21 4921
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?5.表单验证失败:如果表单包含了 JavaScript 验证代码,验证结果为 “false”,则该。属性未设置,或者设置了错误的名称,那么提交表单时,服务器无法识别该字段。标签是必填字段,但用户未填写数据,则此标签不会提交表单。属性,则该标签不可用,不会提交表单。,由HTML相关知识可知,该按钮。标签必须包含在表单元素。属性,例如将其设定为。,则该标签不会提交表单。标签也不会提交表单。
网络攻防练习,可以自己搭网站练习常用网络攻防手段
03-13
DVWA是一个专门为安全专业人士和爱好者设计的,具有各种常见漏洞的Web应用程序,它可以帮助学习者了解并练习网络攻防的各种手段。 首先,我们需要了解什么是Web应用攻击。在现代网络环境中,Web应用是企业与用户...
CTF入门需要知道的Hack Bar的安装与使用方式
tothemoon的博客
11-20 1万+
前言: hackbar时一款小巧但是用途非常广的一款浏览器插件,掌握它也是ctf比赛所需要的最基本的知识。 hackbar可以测试SQL注入,XSS漏洞和网站的安全性,帮助开发人员做代码的安全审计,检查代码,寻找安全漏洞。 本篇文章主要说的是它的POST传参功能。 一,安装 google浏览器与火狐浏览器都支持hackbar,这里主要讲火狐浏览器的安装。 1.打开组件,搜索hackbar,或者点下...
2020.3.19 XCTF的基础题
DSR446的博客
03-19 427
题目描述:(学会使用hackbar) 1.打开hackbar,用get方式传递a=1,如图所示 2.勾选hackbar上的Enable post data,用post方式传递b=2,可获得flag,如图所示 原理: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer...
攻防世界——disabled_button
2201_75626311的博客
07-21 345
法二:查看页面源代码可以知道点击按钮的动作是执行一次名为auth的传参,传参值为flag的post请求,使用BP抓包,将请求方式改为post,添加auth=flag,得到flag。法一:按Fn+F12打开web开发者工具找到操控按钮的代码行删掉disabled"",任意点击一个位置,再次点击按钮,得到flag。根据题目可知这个按键不能使用,需要想办法让这个按键能够被使用。print("存在flag:"+flag)print("未找到flag")法三:编写python源代码。打开题目场景出现如下界面。
CTF-WEB攻防世界题目实战解析 disabled_button
最新发布
2301_76565920的博客
04-19 349
题目:disabled_button 难度:1
一个web安全练习靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
网络安全练习网站大全.rar
10-16
https://www.zhihu.com/question...web:http://hackin ...安恒的平台:登录 - 明御® 攻防实验室 安恒的平台: https://www ...代码审计的平台(C语言):http://web ...很多,这里就不一一列举了,对了还有一些社会工程学练习网站
YuanRenXue:猿人学Web端爬虫攻防赛第一季 习题练习
05-07
综上所述,"YuanRenXue:猿人学Web端爬虫攻防赛第一季 习题练习"涵盖的内容广泛,包括了JavaScript基础、DOM操作、Ajax/Fetch、防爬策略、会话管理、跨域问题以及安全伦理等多个方面,为学习者提供了一个全面了解和...
攻防世界 disabled_button
zhongjl666的博客
09-30 505
攻防世界 disabled_button
ctf(1)-攻防世界web新手练习
weixin_46938584的博客
10-11 505
view_source F12查看开发者工具得到flag robots 掌握robots协议的知识: robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。 步骤 1、访问http://111.198.29.45:33982/robots.txt发现f1ag_1s_h3re.ph
攻防世界之disabled_button(web简单)
my_name_is_sy的博客
05-26 1170
无法点击的按钮,无法右键,密码文本啥的都可以直接f12,然后修改属性,就离谱!
hackbar 使用教程_hackbar简单安装使用教程
weixin_39521651的博客
12-21 2994
安装hackbar:在火狐的附加组件中搜索“hackbar”,将它添加到火狐浏览器中, 重启后Firefox后安装完成,按F9键打开我们就会看到在地址栏下面会出现一个大框框就是hackbar了框框很大碍事怎么办?简单啊 F9 试试首先先介绍横向第一排的下拉框:INT、 HEX、OCT、Alphabet、AlNum分别代表了整数、十六进制、八进制、字母表、所有。假设你的输入框中有a这个字符,然后你将...
[攻防世界]-Web:disabled_button解析
2301_79326813的博客
01-18 819
这道题考了前端知识,先看题目有一个按钮,可以猜按下就可以得flag,但是按不了。那就按F12,看一下按钮的HTML代码。
disabled_button 攻防世界详细解析!X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?
qq_70289080的博客
10-31 887
disabled_button 攻防世界详细解析!X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?
攻防世界——WEB题目Ikun_BILIBILI
Y_KolaFish_Y的博客
07-27 1749
ikun_bilibili_wp 一、获取lv6账号位置 import requests target = "http://111.200.241.244:61777/shop?page=%d" for i in range(500): print(i) res = requests.get(target%(i)).text if "lv6.png" in res: print(target%(i)) break http://111.200.241
记一次解决HackBar无法提交post请求参数方法
热门推荐
m0_47470899的博客
07-15 1万+
问题背景 在做sqli-labs Less-11时,发现这是一个post请求,当尝试用hackbar提交SQL注入语句时,点击excute没有反应,困惑了好久,在网上搜索了各种解决办法,没有解决。然后试着换一个浏览器,用谷歌试一下,发现同样是无法正常提交,但是这次它有提示报错:form.submit is not a function 然后就在网上搜索这个报错,发现是submit的问题 form.submit is not a function解决办法 解决办法 初始post 更改后的(仅仅将submit
对于bugku中有“post”解法以及hackbar插件的理解
weixin_45871855的博客
01-15 3337
“$_POST”解法 在初学安全而且已经写了一部分BugkuCTF中web的一部分题以后发现对于有“get”和“post"的不同。 这是一个关于“get"的题,根据代码构造下做一个代码请求就可以出现flag了 这是一个“post”的题,咋一看和“get”相似,但是做了一个代码请求发现不对。 去问了一下度娘,get和post是HTTP与服务器交互的方式,get是获取数据,post是修改数据。而想...
CTFweb新手攻防解题心得
"CTFweb新手详解 - 攻防世界的初学者挑战与解题心得" 在网络安全领域,CTF(Capture The Flag)是一种常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等多个方面。这篇内容主要针对的是CTF中的Web安全部分,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值