网络信息安全攻防实验室
基础关
第5题
种族歧视
分值:300
小明同学今天访问了一个网站,竟然不允许中国人访问!太坑了,于是小明同学决心一定要进去一探究竟!
通关地址:http://lab1.xseclab.com/base1_0ef337f3afbe42d5619d7a36c19c20ab/index.php
使用burpsuite 发现get请求报文中有一项内容为:
Cookie: saeut=180.136.72.102.1439009649730735
这里就是记录ip的地方,随便找一个外国的ip换上,发现不行。。。
那么增加x-forwarded-for:205.186.154.32呢,还是不行。。。
到网上找找提示。。。。。。
原来要改的是Accept-Language:en-US,en;q=0.8
这无语了。。。。。。
使用burpsuite中的repeater得到了key:*(TU687jksf6&*
第12题
就不让你访问
分值:150
小明设计了一个网站,因为总是遭受黑客攻击后台,所以这次他把后台放到了一个无论是什么人都找不到的地方....可最后还是被黑客找到了,并被放置了一个黑页,写到:find you ,no more than 3 secs!
通关地址:http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/index.php
网页内容:I am index.php , I am not the admin page ,key is in admin page.
刚开始我想到的是用工具扫描后台,然后根据题目想想应该不是这样的,然后就没思路了。在网上找了找提示,要用到robots.txt的知识,不知道什么是robots.txt啊,然后就去了解下:
Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。
robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。
当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。百度官方建议,仅当您的网站包含不希望被搜索引擎收录的内容时,才需要使用robots.txt文件。如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。
在浏览器中输入链接:
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/robots.txt
看到:
User-agent: *
Disallow: /
Crawl-delay: 120
Disallow: /9fb97531fe95594603aff7e794ab2f5f/
Sitemap: http://www.hackinglab.sinaapp.com/sitemap.xml
然后继续输入链接:
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/
看到这个URL就知道扫不出来了。。。
打开之后网页内容为:
you find me,but I am not the login page. keep search.
这里有个提示:login page
那么试试/login.php吧,成功了。
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/login.php
Key:UIJ%%IOOqweqwsdf
网络信息安全攻防实验室相关推荐
- 网络信息安全攻防实验室 第三关
http://hackinglab.cn/ShowQues.php?type=scripts 考查空字符,那么就都试一下吧%00,%0a,%0d,%0a%0d,%0b,%0c,%a0,null都是表示 ...
- 网络信息安全攻防实验室 脚本关第七关
http://lab1.xseclab.com/vcode3_9d1ea7ad52ad93c04a837e0808b17097/index.php 这一道题,构造一个Seesion对象即可,利用该对象 ...
- 网络信息安全攻防实验室 脚本关第六关
http://lab1.xseclab.com/vcode2_a6e6bac0b47c8187b09deb20babc0e85/login.php 这一关与第五关类似,但是验证码验证一次就失效了,实际 ...
- 网络安全特训之——网络信息安全攻防学习平台(选择题)
网络信息安全攻防学习平台(选择题) 文章目录 网络信息安全攻防学习平台(选择题) 第一题 第二题 第三题 第四题 第五题 第六题 第七题 第八题 第九题 第十题 第十一题 第十二题 第十三题 第十四题 ...
- 网络信息安全攻防学习平台——基础关
本文首发链接 查看我的个人博客:https://hubinqiang.com 网络信息安全攻防学习平台基础关 第1题 题目:key在哪里? 过关地址 方法:直接查看网页源代码即可查到key. Key: ...
- 网络信息安全攻防学习平台-基础关
网络信息安全攻防学习平台-基础关 游戏地址[http://hackinglab.cn/ShowQues.php?type=bases] 第一题 key在哪里? 这类题时最简单的,一般只需在浏览器内打开 ...
- 网络安全特训之——网络信息安全攻防学习平台(基础关)
网络信息安全攻防学习平台(基础关) 一.key在哪里 项目场景: 解决方法: 二.再加密一次你就得到key啦 项目场景 解决方法: 三.猜猜这是经过了多少次加密 项目场景: 解决方法: 四.据说MD5 ...
- 高职信息安全比赛攻防思路_2016广东省“中星杯”网络信息安全攻防大赛决赛回顾(2.0多图版)...
悠悠五千年月落星移斗转, 历史的天空几度风云变幻. 中华强国梦, 怎样才能圆? 放眼茫茫未来去寻找答案. 啊! 大江东流 海纳百川, 上下求索 薪火相传. 征途路漫漫你我携手并肩, 跋涉的脚步化着雷鸣 ...
- #033 信安培训基础题Python解决网络安全实验室|网络信息安全攻防学习平台
第三题猜猜这是经过了多少次加密?分值: 200 加密后的字符串为:一大串 字符串最后面是= 所以是base64.b64decode编码究竟为啥有=就是base64咱也不知道 咱也不敢问咋解密也是从网上 ...
- 网络安全实验室|网络信息安全攻防学习平台(基础关)
第一题:key在哪里? http://lab1.xseclab.com/base1_4a4d993ed7bd7d467b27af52d2aaa800/index.php CTRL+U 查看源码发现ke ...
最新文章
- html 播放远程视频教程,视频基于HTML5的服务器远程访问工具
- 巧做辅助线计算三角形角的度数
- redis 存入mysql_数据存到redis 过后怎么处理放到数据库?
- windows server 2008R2 部署WSUS 服务
- python语言中包含的标准数据类型有哪些_Python中的标准数据类型
- 绘图神器 —— Graphviz(一)
- zabbix3.2学习笔记(四):设置sendEmail告警动作
- 初窥Python(一)——使用pymongo连接MongoDB
- windows操作系统未关闭默认共享
- Qt警告:Missing reference in range-for with non trivial type (QString) [clazy-range-loop]
- 逆向webpack打包,还原出原始文件。
- Chrome打包扩展程序错误,清单文件缺失或不可读
- Android如何自定义服务器DynamicMockServer的使用
- 【太虚AR_v0.1】使用教程 | 云识别(图像识别)
- android pm命令不可用,adb命令pm工具讲解
- 【第三期】电子元器件创意作品,附带高清原图,共计60张
- 赛博空间中的信息获取
- Rust crates镜像源管理 crm
- 利用多线程爬虫搭建代理ip池的两种方法(含源码)
- readingWaiting for Godot through the lens of Christian existentialism【翻译】