【攻防世界-Web简单篇】
目录
001 view_source
002 robots
003 backup
004 cookie
005 disabled_button
006 weak_auth
007 simple_php
008 get_post
009 xff_referer
010 webshell
011 command_execution
012 simple_js
001 view_source
题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
解:F12看源代码,发现flag,即cyberpeace{2f02c337ed8e430393527ed58b1091f8}
002 robots
题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
解:打开链接什么也没有,这时就需要知道什么是robots协议,robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件。所以打开robots.txt.
再进php文件
cyberpeace{33da599d7abd3d1a2d2b0b1eeaa9a4f6}
003 backup
题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!
解:php备份文件后缀加.bak,所以咱们就去打开index.php.bak,会提示下载,下载后用记事本打开就有flag了
Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}
004 cookie
题目描述:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?
解:用bp抓包或F12查看均能得到提示,cookie.php,打开cookie.php,
提示看response,在bp上找到此包送去repeater
flag在response里, cyberpeace{a0745b394d9662e5beee17eb9708f61c}
005 disabled_button
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?
解法一:有前端基础的同学会比较简单,F12找到disabled,去除即可,cyberpeace{2c3ffd855649a6e31d27870d004b1b09}
解法二:直接将flag值输入到name的auth,打印auth
006 weak_auth
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。
解:随便输,提示出admin
密码错误
打开bp爆破,123456异常即为密码,登录显示flag
cyberpeace{7740722015c06ca11f94bbe2c8e9a153}
007 simple_php
题目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
解:此题考验php基本函数,a==0是个弱比较, 意思是开头是0,后面不全是数字,如aa1;is_numeric()是判断是不是数字,b>1234,那么b可以是1235b.
Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}
008 get_post
题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
解:get方法简单,就是直接提交
post方法需要用到插件,插件名称 HackBar。使用插件输入b=2,cyberpeace{2300699c19ea0fdc43b193edabe4db22}
009 xff_referer
题目描述:X老师告诉小宁其实xff和referer是可以伪造的。
解:bp抓包,X-Forwarder-For设置为123.123.123.123,看有没有什么提示,发现提示必须来自谷歌,那就再加个Referer: https://www.google.com
cyberpeace{f50d1d27db96a52ae317877be3ef490c}
010 webshell
题目描述:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。
解: 题里给了信息,进入index.php。进入后发现无变化,此为一句话木马,菜刀连接一下,口令为shell。
发现有两个文件,打开flag.txt,里面有flag,cyberpeace{b3222ead9d2df065e944f3d384f1f4df}
011 command_execution
题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。
解:先ping本地127.0.0.1
成功后按部就班找目录
不知道flag什么格式,那就用*表示,找到flag.txt ,大功告成
最后用cat抓一下目标数据就行了,
cyberpeace{710244865c0f565da34d19d3c0795dea}
012 simple_js
题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )
解:随便输入,提示框消失后没有头绪F12看源代码,划线部分为提示,很明显后面就是flag
基本思路16进制转十进制再转ASCII码就是对应答案,可自行写脚本得答案,也可在cyberchef上进行解码
最后得出答案 786OsErtk12,所以flag为 Cyberpeace{786OsErtk12}
【攻防世界-Web简单篇】相关推荐
- CTF:攻防世界web PART01
写在前面: 此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出.欢迎各位前来交流.(部分材料来源网络,若有侵权,立即删除) 攻防世界web PART01 baby_web Traini ...
- 攻防世界 web高手进阶区 9分题 favorite_number
前言 继续ctf的旅程 开始攻防世界web高手进阶区的9分题 本文是favorite_number的writeup 解题过程 进入界面 简单的代码审计 首先是个判断,既要数组强等于,又要首元素不等 然 ...
- 攻防世界——web新手题
攻防世界----web新手题 1. robots 打开题目场景,发现与robots协议有关,上网搜索robots协议的内容: Robots协议(也称为爬虫协议.机器人协议等)的全称是"网络爬 ...
- 攻防世界 web高手进阶区 10分题 weiphp
前言 继续ctf的旅程 开始攻防世界web高手进阶区的10分题 本文是weiphp的writeup 解题过程 进入界面 点击 进入一个登陆界面 没有注册 那肯定得找源码了 惯例源码+御剑 发现git泄 ...
- 攻防世界Web第一天
攻防世界[Web]第一天 [Web]第一题 解题步骤 总结 [Web]第一题 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了. 解题步骤 第一:获取在线场景,进入浏览页面. ...
- 攻防世界Web题 - unseping 总结
攻防世界Web题 - unseping 总结 1.审题 进入题目,可以看出来是典型的php反序列化题目. 2.源代码分析 <?php highlight_file(__FILE__); //显示 ...
- 攻防世界-----web知识点总结
WEB 一. 网页源代码的方式 在地址栏前面加上view-source,如view-source:https://www.baidu.com 浏览器的设置菜单框中使用开发者工具,也可以查看网页源代码. ...
- 攻防世界 web高手进阶区 8分题 Web_python_block_chain
前言 继续ctf的旅程 开始攻防世界web高手进阶区的8分题 本文是Web_python_block_chain的writeup 解题过程 这是个区块链题 这..裂开了啊 没搞过区块链 从零开始学习 ...
- 攻防世界web进阶区Web_php_wrong_nginx_config详解
攻防世界web进阶区Web_php_wrong_nginx_config详解 题目 详解 题目 打开发现无论我们输入什么他都会弹出网站建设不完全 那么我们使用御剑进行扫描,扫描到了admin和robo ...
最新文章
- 21张让你代码能力突飞猛进的速查表(神经网络、机器学习、可视化等)
- Django-cookie的保存以及删除操作
- 【2013年11月12号】日记
- codelite13 wxWidgets3 macos开发环境配置
- 《17探索,18前行》
- SDNU 1167.花生采摘(排序)
- Visual Studio 设置快捷代码段
- ASP.NET 的服务器端控件有三种关于 ID 的属性 ID, ClientID 和 UniqueID
- 啊哈算法---快速排序(C语言)
- GNSS精密星历读取(matlab)
- 电子测量技术——基于Python的测量数据误差处理程序
- Google 阅读器键盘快捷键
- wordpress主题_20种色彩缤纷的WordPress主题组合(免费和高级)
- @SuppressWarnings注解用法详解
- JAVA NIO:NIO与OIO的对比以及Channel通道、Selector选择器、Buffer缓冲区的介绍 //高并发
- ps怎么把黑白照片变成彩色?ps把儿童黑白照变彩色教程
- P1688 餐厅点餐
- 抢购倒计时自定义控件的实现与优化
- Mac电脑安装其他系统
- C++实现Photoshop图层颜色混合模式