攻防世界web新手题(小白做题)
目录
- view_sourse
- robots
- backup
- cookie
- disabled_button
- weak_auth
- simple_php
- get_post
- xff_referer
- webshell
- command_execution
- simple_js
view_sourse
第一题是最简单的,直接F12就可以了;F12是可以打开页面源代码的,也可以在设置中找到;
robots
第二道题也算是简单的,网上其实有太多的题解,这个直接在网址后加上 /robots.txt 就行了。
百度下:robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
就知道是个文本行了。
这样子flag就得到了 cyberpeace{e9ae1d9e587b8fbfe5c113a090bf28be}
backup
第三题根据提示,知道是个备份文件,然后再网址后面加上/index.php.bak就自动下载了个文件,然后用记事本打开就行了。index.php的后缀名是bak,但如果遇到其它的,后缀名就不一定是bak了
用记事本打开是个代码:
这样子这道题就做出来了。
cookie
这题提示看cookie,那我们肯定打开cookie.php这个文件,方法和上面的一样,再网址后面加上cookie.php就可以访问了,然后它又来了个提示,看看反应。
可能我们有点懵,但不要着急,再这里我们还用不到Burpsute,(或许你还不知道这是什么,但不要着急,用到了再说)直接打开开发者工具(按F12就行了)然后看看network,找到cookie.php的目录,里面就可以看到了flag这个小可爱了!
然后我们再找到cookie这个文件(直接再url里加上它就可以了)
此时里面有个提示See the http response
我们就看看:
这样子flag就得了。
disabled_button
我们可以发现这个按钮按不下去,如果我们让它按了下去,那我们是不是就可以得到了falg,那根据前面学到的知识,按F12,发现了个disabled这个(在from中,而from是表格的意思!)右键删除它,然后点它,flag就出现了。
flag就出现了,很简单啦
weak_auth
这个是个登录页面,而且不限次数,我们就可以用爆破这个了。
我们随手输入一个账号登录一下,发现有个提示,账号是admin,密码不知道,我们就需要爆破密码了。这时我们就需要一个字典,根据字典来进行爆破它。
最后是根据长度来进行判断的,然后就可以找出密码是123456啦
cyberpeace{133de6452c95de2f229220105726395e}
simple_php
这里就是php代码的审计啦。
然后我们就想一想,有什么可以代替他们,嗯嗯~~
0a和1234a,因为一个字符串刚开头就决定了它是什么类型的。
改一下url就行了。
Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}
get_post
新手区的题是比较简单的,这个也是一步就完成的,两个请求就OK啦。
就好了
xff_referer
这个就是伪造一下里面的内容啦。
BP上啦:
不过说一下hacker这个插件也可以直接做出来,不过我们就不用这个啦。
不过我发现这个BP确实有电难用呀,一卡一卡的。
webshell
这个就是 一句话木马 啦!
一下子就可以了。
也可以用菜刀或者蚁剑啦!
command_execution
用个ping,其实我也不太懂什么是ping,我的理解是你发个请求差不多,它会个你个回应的。可以百度下。
然后我们就要打印出这个flag.txt这个文档啦。
这样子flag就出来了。
simple_js
这个应该与js有关啦!
其实这串数字就是flag啦,不过的转成字符,发现是个数组,再进行一次转成字符就是flag啦。
786OsErtk12
这个加上Cyberpeace就是flag啦。
也可以用记事本来进行改代码啦!直接复制粘贴改,总会改对的。
攻防世界web新手题(小白做题)相关推荐
- 攻防世界——web新手题
攻防世界----web新手题 1. robots 打开题目场景,发现与robots协议有关,上网搜索robots协议的内容: Robots协议(也称为爬虫协议.机器人协议等)的全称是"网络爬 ...
- 攻防世界web新手区(来自小白)*-*
鄙人是个纯纯的小白,这个博客也是给小白写的,不过大佬们也不会来查这些题的wp吧 拍飞 文章目录 攻防世界WEB新手区(1--11) 第一题view_source 第二题robots 第三题backup ...
- 攻防世界-web新手区wp
攻防世界-web新手区wp view source robots backup cookie disabled_button weak auth simple php get_post xff_ref ...
- 攻防世界——web新手区(全解)
当前网络安全形式越来越严重,我国也越来越重视,现在国内乃至国际上各个网络攻防大赛层出不穷,但是练习平台却还是很稀缺,可以说目前网上能够练习的平台也就只有几家,大多数的院校它们有自己的练习平台但并不公开 ...
- 攻防世界web新手练习 -unseping
攻防世界web新手练习 -unseping 新版攻防世界的这个题目有点给力,从今天开始刷题刷题 本题的知识点很多,总结出来以下几点 php代码审计 php反序列化 命令执行的绕过方式 空格绕过 空环境 ...
- XCTF攻防世界Web新手入门题大全
XCTF攻防世界Web之WriteUp无图版 (Tips:有图版本,请移步我的资源,自行下载doc文档) 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 vie ...
- 攻防世界-Web(新手区)
前言 暑假前,为了学习Web题,做了攻防世界的新手区的Web题,当时没有总结,现在总结一下. 正文 Web1:view_source 查看源代码,右键不可以用.所以按F12,直接查看源码即可. Web ...
- 20200109攻防世界WEB高手区题目一题多解全教程通关(13-18)
欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注 目录 013unserialize3 014upload1 015Web_python_tem ...
- 攻防世界web新手区easyphp题解writeup
写在前面 最近在学习CTF web相关知识,顺带学习php,在攻防世界平台上做做题.遇到了一道名为easyphp的题目,对我这个新手一点也不easy,于是决定把过程记录下来. 参考了官网上shuita ...
- 攻防世界web新手区合集
攻防世界(xctf)做题合集-get_post- robots-backup-cookie-disabled_button-simple_php-weak_auth-xff_referer-simpl ...
最新文章
- IOS APP 国际化 程序内切换语言实现 不重新启动系统(支持项目中stroyboard 、xib 混用。完美解决方案)
- 剑网三《谢云流传》,展现的庞大世界观,背后的故事如何?
- 让你瞬间提高工作效率的常用js函数汇总
- php varexport,PHP函数补完:var_export()
- class括号里的object_JVM真香系列:轻松理解class文件到虚拟机(上)
- python使用工具简介介绍
- 基于JAVA+SpringMVC+Mybatis+MYSQL的网上零食销售系统
- Ajax用POST方式传中文到SERVLET中,接收时乱码
- HPU--1091 N!的位数
- day21保护操作系统
- 计算机的五个发展阶段详细介绍,计算机的发展阶段可以分为那五个阶段吗?
- 解决You must configure either the server or JDBC driver (via the serverTimezone conf)
- pycharm typo
- 手机邮件html样式,iPhone技巧篇 如何添加HTML风格邮件签名
- 8、实战项目-性能优化实战
- 华为物联网(IOT)开发者平台
- 微信小程序根据sourceMap 定位代码错误位置
- 硬件工程师--医疗器械
- 怎样将表格拆分为两个
- Python——下载数据集时报错解决:ContentTooShortError: <urlopen error retrieval incomplete: got only XX out of XX