攻防世界web练习4

最新推荐文章于 2025-12-22 21:38:10 发布

原创最新推荐文章于 2025-12-22 21:38:10 发布 · 195 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#前端 #php #web安全

本文介绍了Web Cookie的基本概念，它是一种在用户访问网站时存储在本地的数据，用于辨别用户身份和Session跟踪。通过实例展示了在Firefox浏览器中查看和分析Cookie的步骤，包括访问特定页面查看Cookie值，并在HTTP响应包中找到相关信息来获取flag。

攻防世界web练习

四、Cookie（当访问某个站点时，随某个HTML网页发送到你的浏览器中的一小段信息）

X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：这是夹心饼干的意思吗？
http://111.200.241.244:50114/

[原理]

Cookie是当主机访问Web服务器时，由 Web 服务器创建的将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies，指某些网站为了辨别用户身份、进行Session跟踪而存储在用户本地终端上的数据，而这些数据通常会经过加密处理。

[目的]

掌握有关cookie的知识，了解cookie所在位置

[环境]

windows10专业版

[工具]

Firefox

[步骤]

1.浏览器按下F12键打开开发者工具，刷新后，在存储一栏，可看到名为look-here的cookie值为cookie.php

2.访问http://111.200.241.244:50114/cookie.php，提示查看http响应包，在网络一栏，可看到访问cookie.php的数据包，点击查看数据包，在消息头内可发现flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

H_S2022

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

ctf攻防世界web方向，基础题详解.1

weopenear的博客

04-24

839

本题在百度文库有 robots.txt 是搜索引擎中访问网站的时候要查看的第一个文件，一般而言 robots.txt 文件告诉蜘蛛软件在服务器上面什么文件是可以被查看的。第一题：这题很简单，在_获取在线场景_后，点开题目网址，按住f12就可以查看网页源码，就可以容易看到flag，cv复制就可以获取flag。第二题： robots协议，一般ctf比赛中，会遇到很多自己不太会，不太懂的协议，一般会在网上查询一些，如下图所示，按照百度文库查看robots.txt 文件。

攻防世界题目练习——Web引导模式（四）（持续更新）

qq_48550824的博客

11-07

821

以及服务相应的版本…等等，从而可以找到相应的漏洞。不知道这个admin是uname输入框还是passwd输入框变过来的，盲猜应该是uname，重新试一下改了一下passwd，但是发现并没有返回302结果，返回的是200，并且没有像上一个一样的this_is_your_cookie的Set-Cookie的值，猜测可能是因为用户名密码不正确？的讲解，“能够对外发起网络请求的地方，就可能存在 SSRF”，我的理解为：凡是一个输入框可以用来访问其他网站的，就可能存在ssrf漏洞。

参与评论您还未登录，请先登录后发表或查看评论

攻防世界Web新手区题解

lwwzyy

03-18

1219

攻防世界Web新手区题解

攻防世界web新手区前六关

Python研究所

11-29

278

此文转载自：https://blog.youkuaiyun.com/weixin_50998641/article/details/110247848#commentBox 第一题view_source 鼠标无法查看网页源代码，可以利用F12来查看，flag就在网页源码中。第二题robots 根据题目提示robots，此题考查robots协议，robots协议也叫robots.txt，存...

robots协议

xiaomin1991222的专栏

03-10

240

robots.txt文件是一个文本文件，使用任何一个常见的文本编辑器，比如Windows系统自带的Notepad，就可以创建和编辑它[1] 。robots.txt是一个协议，而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在rob

攻防世界web练习6

H_S2022的博客

05-15

248

攻防世界web练习六、weak_auth（弱授权）小宁写了一个登陆验证页面，随手就设了一个密码。 http://111.200.241.244:60546/ [目标] 了解弱口令，掌握爆破方法 [环境] windows10专业版 [工具] burp suite + 字典 + Firefox中的代理插件——foxyproxy [步骤] 1.随便输入一组用户名和密码，提示要用admin用户登录,然后跳转到了check.php，改为admin登录，但不知道密码，则暴力破解 2.用burp suite拦截下登

攻防世界web练习13

H_S2022的博客

07-13

350

攻防世界web练习

攻防世界 Web新手练习区

2301_81571192的博客

11-20

624

访问网址 http://61.147.171.105:61558/index.php.bak。打开hackbar，将网址Load下来，勾选Post data，在下方输入框输入b=2。打开御剑扫描域名，得到index.php.bak。会在本地下载一个index.php.bak 文件。打开御剑扫描域名，得到robots.txt。用记事本打开，找到flag提交。获取在线场景后，点开网址。依据提示在搜索框输入信息。

攻防世界web练习11

H_S2022的博客

07-13

299

攻防世界web练习

攻防世界web练习21

H_S2022的博客

07-13

135

攻防世界web练习

攻防世界题目练习——Web引导模式（二）

qq_48550824的博客

10-12

1210

看源码可以知道，__wakeup()函数会强制将文件名转为index.php，因此我们需要绕过__wakeup()函数，接下来执行的__destruct()函数会输出对应文件的内容，我们需要让文件名显示为我们要查看的文件。的时候的结果，也就是说，这个网页在查询数据库时，应该是默认的查询的表名为"words"，查询的列名为"id"，所以我们把flag所在的表名改成words，列名改成id，就可以在网页查询1时获得flag。，1后面的单引号是多余的，因此触发报错，就可以判断我们输入的参数就是单引号闭合的形式。

攻防世界web练习区题目解答

weixin_46262057的博客

03-22

5018

xctf的web练习区题目解答。

攻防世界题目练习——Web引导模式（三）（持续更新）

qq_48550824的博客

10-16

1476

它能解析 .git/index 文件，并找到工程中所有的：文件名和文件 sha1，然后去 .git/objects/ 文件夹下下载对应的文件，通过 zlib 解压文件，按原始的目录结构写入源代码。下载完成后，因为看到前面的参考博客里是用的__init__.py文件来下载，于是在我下载的githacker-master的目录下的lib目录中找到了这个文件，按照那篇博客上的命令还是没法下载。/etc/passwd ，但是发现。在博客3讲的拼接不是很详细，没太懂这样构造之后在代码中是怎么拼接的，于是看了博客1.

攻防世界-WEB新手练习区教程（一）

tzyyyyyy的博客

11-07

842

攻防世界-WEB新手练习区教程 view_source get_post robots backup cookie disabled_button

前端性能优化之Webpack篇

最新发布

程序员小寒的博客

12-22

514

虽然现在vite比较火，但很多公司中还是存在一些将webpack作为构建工具的前端老项目。最近在优化公司的一个webpack项目，所以整理了webpack常见的优化手段，一起来看看吧！

vue + iview + vue-i18n中英翻译

pingguocu3的博客

12-22

)星期一:'mon',星期二:'tue',星期三:'wed',星期四:'thu',星期五:'fri',星期六:'sat',星期日:'sun',©著作权归作者所有,转载或内容合作请联系作者平台声明：文章内容（如有图片或视频亦包括在内）由作者上传并发布，文章内容仅代表作者本人观点，简书系信息发布平台，仅提供信息存储服务。

vue2/vue3前端创建脚手架并引入RBAC权限模型

demotang的博客

12-18

211

本文介绍了基于Vue的RBAC权限管理系统实现方案。主要内容包括：1) 使用VueCLI创建项目并配置基础结构；2) 封装axios请求，实现请求/响应拦截；3) 通过Vuex管理角色和权限状态；4) 实现路由守卫和动态路由生成；5) 开发权限指令和按钮组件进行细粒度控制；6) 完整RBAC流程实现，包括登录认证、权限获取和访问控制。该方案覆盖了前端RBAC的核心功能，可根据项目需求灵活调整。

使用 Python 语言从 0 到 1 搭建完整 Web UI自动化测试学习系列 34--基础知识 9--文件上传功能

我的xiaodoujiao，软件测试人员

12-21

723

Web UI自动化测试学习系列第三十四篇

12.17 脚本网页创意导航

2503_93413701的博客

12-17

524

分享一下短小，好看的导航。

攻防世界web-web2

02-28

### Web安全攻防练习平台对于希望深入理解和实践Web安全攻防技术的人来说，选择合适的在线实验环境至关重要。这类平台通常提供了一系列预配置好的虚拟机镜像以及各种类型的漏洞供学员尝试发现并加以修复。 #### 常见的Web安全攻防练习平台有： - **OWASP Juice Shop** OWASP Juice Shop 是一款现代的、基于浏览器的应用程序，旨在教授人们如何保护自己的网站免受常见的网络攻击。它包含了超过50种不同的注入点和弱点，覆盖了OWASP Top Ten中的所有类别[^2]。 - **DVWA (Damn Vulnerable Web Application)** DVWA是一个用于教育目的而设计得非常脆弱的PHP/MySQL Web应用程序。通过其简单易懂的操作界面，用户可以选择不同级别的难度来测试自己对SQL注入、XSS跨站脚本等多种常见漏洞的理解程度[^1]。 - **HackTheBox 和 TryHackMe** 这两个平台不仅限于Web应用层面的安全挑战，还包括操作系统层面上的任务。然而，在这些平台上也存在大量专注于Web渗透测试的房间或机器，非常适合那些想要提高实际动手能力的人士参与其中[^3]。 ```python import requests def test_web_vulnerability(url, payload): try: response = requests.get(f"{url}?input={payload}") if 'success' in response.text.lower(): print('可能存在漏洞') else: print('未检测到明显漏洞特征') except Exception as e: print(e) test_web_vulnerability("http://example.com/vulnerable_page", "<script>alert(1)</script>") ``` 此代码片段展示了如何编写简单的Python函数来进行基本的XSS探测。请注意这只是一个教学示例，在真实环境中应当遵循合法合规的方式进行安全性评估工作。