攻防世界web练习2

最新推荐文章于 2025-03-30 20:12:15 发布
最新推荐文章于 2025-03-30 20:12:15 发布
阅读量188 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/H_S2022/article/details/124665989
本文介绍了Robots协议的基本概念,它是一个用于指示搜索引擎爬虫哪些页面可抓取、哪些禁止抓取的文本文件。通过访问指定URL的robots.txt,小宁同学发现了隐藏的链接并获取了flag。学习Robots协议有助于理解网站搜索引擎优化和信息安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻防世界web练习

二、robots

X老师上课讲了 Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁 Robots协议 是什么吧。
http://111.200.241.244:51755/

[原理]

robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛)在此网站中的哪些内容是不应被获取的,哪些是可以被获取的。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.txt
robots.txt是搜索引擎访问网站时查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,则所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。

[目标]

掌握robots协议的知识

[环境]

windows10专业版

[工具]

Firefox

[步骤]

1.根据提示robots,可以直接想到robots.txt
2.访问http://111.200.241.244:51755/robots.txt 发现 f1ag_1s_h3re.php
截图
3.访问http://111.200.241.244:51755/f1ag_1s_h3re.php得到flag
截图

H_S2022
关注
攻防世界web2 (逆向加密算法)
一醉一休的博客
02-23 866
一、web2攻防世界) 1)很直接就是给出代码 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); //反转字符串 该函数将字符串逆过来 for($_0=0;$_0<strlen($_o);$_0++){ //循环字符串长度 ...
攻防世界web练习区题目解答
weixin_46262057的博客
03-22 4963
xctf的web练习区题目解答。
攻防世界 web(二)
未完成的歌~的博客
10-05 562
这周接着刷攻防世界web题( ̄︶ ̄)↗  1、command_execution 2、simple_php 3、NaNNaNNaNNaN-Batman 4、NewsCenter
攻防世界-Web-web2
uh_eng的博客
08-25 316
0x01 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0,1); $__=ord($_c
攻防世界-web-web2
wuh2333的博客
06-21 204
攻防世界web2
攻防世界web2
windcandy的博客
11-13 469
攻防世界web2的wp
攻防世界 web新手练习区题解 下
weixin_46330722的博客
10-30 775
攻防世界 web新手练习区题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码,我们直接来分析一下,首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
[攻防世界CTF|web方向]第二题:PHP2
weixin_70825534的博客
07-24 899
phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。index.php是一个常见的文件名,通常用于web服务器网站中的根目录下,在web应用中,index.php通常是网站的入口文件,它包含了处理用户请求的代码,与数据库进行交互并生成页面的相关内容等,同时它也是连接后端逻辑和前端界面的桥梁之一。第二行检查通过 URL 传递的 'id' 参数的值是否等于 'admin'。4.开始分析得到的语句。
攻防世界WEB练习总结
qq_35776953的博客
12-01 367
攻防世界WEB练习总结 前言 通过几天的时间进行学习,可以从题目中找到很多有用的知识,例如php html 基本原理,JS cookie 的使用以及审代码 下面我对新手练习区的题目进行一个总结 view_source 首先第一题 比较简单 题目描述说让他看源代码,但是右键不可用 这时我们可以按F12打开开发者工具 查看网页源代码 即可发现flag robots 本题需要我们了解robot协议,可以直接在地址后边加上robot.txt 然后我们发现了f1ag_1s_h3re.php,同样直接进行
攻防世界 web高手进阶区 10分题 xss1
闵行小鱼塘
11-10 884
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是xss1的writeup
攻防世界web2
qq_44111753的博客
11-17 270
题目: WP: 代码审计 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0,1); $_
攻防世界-web2
weixin_49539962的博客
09-04 301
miwen应该是密文的拼音。在函数encode中,传入字符串str,依次将str中的每一个字符转换为十进制ASCII码加一,然后再转换成字符。
web | CTF】攻防世界web2
weixin_46301214的博客
05-23 873
本题考点 - 熟悉PHP函数使用 - 检测你的编程基础是否扎实 步骤一:阅读源码,并分析 打开就有源码,且有提示是逆向算法题 分析后得出加密过程: 原文->字符反转->循环加ascii码后还原拼接->base64加密->字符反转->rot13加密 #不懂PHP函数的自己去查,找个在线PHP刷一下就懂了 步骤二:编写程序,并打印flag 编程程序,逆向解密 过程如下: rot13解密->字符反转->...
攻防世界-web2 (NSCTF-WEB)
路baby的博客
07-12 2325
今天在做题无疑发现有个比较有意思(被多个平台收录过) 非常适合编码,web,密码初学者 所以今天就把这道题给你们详细整理出来
[wp] 攻防世界-web2
MercyLin的博客
09-07 982
进来就是代码审计: <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o)...
攻防世界 web2
最新发布
2403_89329862的博客
03-30 191
这里使用一个插件HackBar(HackBar要收费可以使用HackBar v2是免费的,可以直接在扩展中下载)是直接在 URL后面后面输入?a=1(注意要在英文状态下输入) 再点击Execute发送。会出现请再以POST方式随便提交一个名为b,值为2的变量。由题知请用GET方式提交个名为a值为1的变量。在下框中输入b=2,点击Execute发送。一、点击Load URL。这时点击Post data。按Fn+F12调出源代码。
攻防世界web2
一颗小白菜的博客
10-26 372
web2 1、题目 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); #反转字符串 // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0,1); #截
攻防世界web-web2
02-28
### Web安全攻防练习平台 对于希望深入理解和实践Web安全攻防技术的人来说,选择合适的在线实验环境至关重要。这类平台通常提供了一系列预配置好的虚拟机镜像以及各种类型的漏洞供学员尝试发现并加以修复。 #### 常见的Web安全攻防练习平台有: - **OWASP Juice Shop** OWASP Juice Shop 是一款现代的、基于浏览器的应用程序,旨在教授人们如何保护自己的网站免受常见的网络攻击。它包含了超过50种不同的注入点和弱点,覆盖了OWASP Top Ten中的所有类别[^2]。 - **DVWA (Damn Vulnerable Web Application)** DVWA是一个用于教育目的而设计得非常脆弱的PHP/MySQL Web应用程序。通过其简单易懂的操作界面,用户可以选择不同级别的难度来测试自己对SQL注入、XSS跨站脚本等多种常见漏洞的理解程度[^1]。 - **HackTheBox 和 TryHackMe** 这两个平台不仅限于Web应用层面的安全挑战,还包括操作系统层面上的任务。然而,在这些平台上也存在大量专注于Web渗透测试的房间或机器,非常适合那些想要提高实际动手能力的人士参与其中[^3]。 ```python import requests def test_web_vulnerability(url, payload): try: response = requests.get(f"{url}?input={payload}") if 'success' in response.text.lower(): print('可能存在漏洞') else: print('未检测到明显漏洞特征') except Exception as e: print(e) test_web_vulnerability("http://example.com/vulnerable_page", "<script>alert(1)</script>") ``` 此代码片段展示了如何编写简单的Python函数来进行基本的XSS探测。请注意这只是一个教学示例,在真实环境中应当遵循合法合规的方式进行安全性评估工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值