[CTF/网络安全] 攻防世界 disabled_button 解题详析

最新推荐文章于 2025-09-26 10:00:00 发布
原创 最新推荐文章于 2025-09-26 10:00:00 发布 · 605 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

在这里插入图片描述

input标签

题目提示前端知识,由HTML相关知识可知,该按钮即<input>标签不能提交的原因有以下六种:

  1. 没有包含在表单中:<input> 标签必须包含在表单元素<form>内才能进行提交。如果没有将标签包含在表单中,则无法将其提交。

  2. 没有设定正确的 type 属性:<input> 标签的 type 属性控制其行为。如果设置了错误的 type 属性,例如将其设定为 type="button"或 type="reset",则该标签不会提交表单。

  3. 带有 disabled 属性:如果 <input> 标签带有 disabled 属性,则该标签不可用,不会提交表单。这通常是为了避免用户不必要地重复提交表单、防止误操作或者其他原因而将按钮禁用。

  4. 未填写必填项:如果该 <input> 标签是必填字段,但用户未填写数据,则此标签不会提交表单。

  5. 表单验证失败:如果表单包含了 JavaScript 验证代码,验证结果为 “false”,则该 <input> 标签也不会提交表单。

  6. 未设置正确的 name 属性:如果 <input> 标签的 name 属性未设置,或者设置了错误的名称,那么提交表单时,服务器无法识别该字段。

姿势

打开查看器可知,disabled 属性使按钮无法被点击
在这里插入图片描述

disable属性

在HTML中, disabled 属性只有两个值:一个是不带值(例如:disabled),表示禁用该元素;另一个是带有任意非空值(例如:disabled="true"),表示禁用该元素并将其状态提交到服务端。

如果要使 <input> 标签生效,需要将其 disabled 属性从标签中删除。

将 disabled 属性从 <input> 标签中移除
单击鼠标右键,点击编辑HTML即可:

在这里插入图片描述
回显如下:
在这里插入图片描述

总结

该题考察HTML相关知识,较为简单。

网络安全 | CTF攻防世界 disabled_button 解题
等风来
05-21 7156
例如,type=“button” 或 type=“reset” 的按钮无法提交表单,只有设置为 type=“submit” 时,才会触发表单的提交功能。5.表单验证失败:如果表单包含 JavaScript 验证代码且验证未通过(例如字段格式不符合要求或字段为空),则表单提交会被阻止,标签设置为必填项(required 属性)时,如果用户未填写数据,表单将无法提交。标签需要提交数据而未设置或设置了错误的 name,服务器将无法识别该字段,从而导致表单提交失败。如果没有被表单元素包裹,它将无法触发表单提交。
网络安全 | CTF攻防世界wife_wife解题
等风来
07-23 8553
可以看到,后端编程语言为Node.js,若isAdmin的属性是true,则它为管理员,否则为普通用户;于是我们可构造污染。该题涉及Java Script原型链污染。
Web 攻防世界新手区题解
yunwang0421的博客
12-15 783
1.view_source:X老师小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 本题打开网页查看源代码即得到flag 2.robots:X老师上课了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 本题看提示robots协议,就在地址栏后面跟上robots.txt, 可以看到第三行,即地址栏修改为f1ag_1s_h3re.php, 3.backup:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 本题需要知道备份文件的
攻防世界-Web-disabled_button
最新发布
2301_80797059的博客
09-26 249
1.提示按钮不能点,F12打开源代码,找到按钮所在位置,去掉disabled即可得到flag。post发送auth=flag。
攻防世界 web新手练习区题解 上
weixin_46330722的博客
10-29 1646
攻防世界 web新手练习区题解 上view_sourcerobots前置知识-robots协议解题backupcookiedisabled_buttonweak_auth view_source 题目描述:X老师小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 从题目描述就知道是让我们查看网页源代码,但是又说鼠标右键坏了,那么就可以f12一件查看源码 成功拿到flag robots 题目描述:X老师上课了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
攻防世界——disabled_button
2201_75626311的博客
07-21 641
法二:查看页面源代码可以知道点击按钮的动作是执行一次名为auth的传参,传参值为flag的post请求,使用BP抓包,将请求方式改为post,添加auth=flag,得到flag。法一:按Fn+F12打开web开发者工具找到操控按钮的代码行删掉disabled"",任意点击一个位置,再次点击按钮,得到flag。根据题目可知这个按键不能使用,需要想办法让这个按键能够被使用。print("存在flag:"+flag)print("未找到flag")法三:编写python源代码。打开题目场景出现如下界面。
CTF-WEB攻防世界题目实战解 disabled_button
2301_76565920的博客
04-19 560
题目:disabled_button 难度:1
[CTF/网络安全] 攻防世界 weak_auth 解题
Hacker_Nightrain的博客
01-03 573
本题结合Burp Suite爆破姿势考察弱认证绕过,读者可躬身实践。
[CTF/网络安全] 攻防世界 Web_php_unserialize 解题
Hacker_xingchen的博客
01-02 649
该题考察反序列化相关知识,逐一分即可。
网络安全 | CTF攻防世界 weak_auth 解题
等风来
05-21 8001
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。正常来说,登录失败时会重定向至Login页面,而。该题密码较简单,故使用常规字典爆破可得flag。1.将请求包发送至Intruder并。用户名admin,密码1进行登录。2.设置Payload,添加字典。姿势较简单,本文不再赘述。3.启动爆破,查看结果。
攻防世界——disabled_button(NO.GFSJ0479)
hhsjjsj的博客
09-10 1372
我们先试试前端,按F12,可以看到,按钮相关的前端代码被赋予了disabled标签,那我们只需要在前端disabled删除即可。打开题目,结合题目描述,我们可以明显的看出来,这个题目需要我们把这个按钮按出来就行。可以看到,删除后按了按钮,可以弹出flag。
攻防世界-webdisabled_button
weixin_73625393的博客
10-29 431
根据提供的类名 "btn btn-default",可以推断该按钮可能具有默认样式,并且被视为一个按钮。在您提供的代码中,该输入元素的类型为 "submit",表示它是一个提交按钮,用于将表单数据提交到服务器。在您提供的代码中,该输入元素被禁用,用户无法点击或提交该按钮。属性:此属性定义了按钮的名称,用于在提交表单时标识该按钮的值。在您提供的代码中,按钮的名称为 "auth"。需要注意的是,根据页面提供的代码片段,该按钮被禁用,无法进行交互或提交。在您提供的代码中,按钮上显示的文本为 "flag"。
攻防世界 web disabled_button
Emjl__的博客
05-04 283
按 F12 打开开发者工具,审查网页源代码。 发现其中要提交的表单内唯一的一项上有一个disabled属性,它限制了该项目不可用,且不能被点击,直接把它删掉,点击按钮获得flag。cyberpeace{208fc4c9db603b36e1065b99f83b0383} ...
攻防世界WEB(新手模式)1-10-disabled_button
你好
07-21 458
那么我们只需要删除这个属性就ok(把disabled这几个字母删除就ok,双击这个单词然后就可以删除了)点击f12查看,发现input被设置成了disabled属性。接下来回到题目,发现按钮可以点击了,直接出flag。点进去之后,确实诶,有个按钮但是点不动。题目给的提示:前端按钮
攻防世界-Web-新手-disabled_button
weixin_45653478的博客
03-11 545
在这个例子中,action属性是空的,意味着数据不会发送到任何地方(实际上,这通常不是一个好的做法,除非有特定的JavaScript逻辑来处理表单提交)。" type="submit" value="flag" name="auth" />: 这是一个输入元素的标签,它的类型是submit,意味着它是一个提交按钮。再点击页面随意地方,flag就变成一个可点击的按钮了,然后点击flag按钮获取flag,得到答案。<h3>一个不能按的按钮</h3>: 这是一个三级标题,它的内容是“一个不能按的按钮”。
攻防世界disabled_buttonweb简单)
my_name_is_sy的博客
05-26 1319
无法点击的按钮,无法右键,密码文本啥的都可以直接f12,然后修改属性,就离谱!
攻防世界 - Web - Level 1 | disabled_button
Blue17 の 小窝
12-18 400
本题考察的是前端的 JavaScript 知识,只要有个基础就很好过关。同时也提了个醒,基于前端的过滤大部分都是纸老虎,没啥用,很容易被人破解。
攻防世界disabled_button
qq_55510415的博客
04-21 365
可以到input按钮中 有个属性为disabled,当布尔属性disabled存在时,元素将不可变、不能聚焦或与表单一同提交。用户将不能在表单控件本身或其子控件进行编辑或聚焦操作。X老师今天上课前端知识,然后给了大家一个不能按的按钮小宁惊奇发现这个按钮按不下去,到底怎么才能按下去呢?思路:不能按的按钮,可能跟css的属性有关,利用控制台elements(元素)进行修改。因此双击该属性,删除掉disabled属性。点击input按钮得到flag。
七、攻防世界-disabled_button
pcmbyn的博客
03-21 791
按键不能点击,直接f12看源码,发现是由于input被设置成了disabled。第二种方式是构造POST请求:auth=flag。第一种方式是删除disabled属性。点击即可得到flag。
攻防世界disabled_button
07-27
对于"disabled_button"的攻击和防御,以下是一些可能的措施: 攻击: 1. 用户端注入攻击:攻击者可能尝试通过修改用户端代码来绕过按钮禁用功能。为了防止这种攻击,应该在服务端进行输入验证和安全性检查,并在用户端使用合适的安全控件。 2. 脚本注入攻击:攻击者可能尝试通过向输入字段注入恶意脚本来绕过按钮禁用功能。为了防止这种攻击,应该对输入进行严格的过滤和转义,确保用户输入不会被当作代码执行。 防御: 1. 服务端验证:在接收到用户请求时,服务端应该对请求进行验证,确保用户具有执行相应操作的权限。如果用户没有权限执行操作,服务器应该返回错误信息,并阻止操作的执行。 2. 前端控制:在前端页面中,可以使用JavaScript等技术来禁用按钮。通过设置按钮disabled属性,可以防止用户通过点击按钮来触发操作。同时,还可以通过合适的前端框架或库来进行表单验证,确保用户输入的有效性。 3. 输入过滤和转义:在接收用户输入时,应该对输入进行过滤和转义,以防止恶意脚本注入攻击。可以使用合适的编程语言或库来进行输入验证和处理,确保用户输入的安全性。 需要注意的是,以上只是一些常见的防御措施,具体的实施方法和技术取决于具体的应用场景和开发环境。在开发过程中,应该结合具体的需求和安全威胁来选择合适的防御策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值