攻防世界-Web-练习区12题解

原创 已于 2022-04-30 12:42:49 修改 · 6.0k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2022-04-28 20:31:20 首次发布
本文介绍了小宁在Web开发学习中遇到的挑战,包括查看源代码、理解HTTP请求方法、解析robots协议、PHP基础、cookie管理、前端交互、弱口令破解、webshell防范及命令执行漏洞。通过实战演示了如何解决这些问题并获取旗子。

攻防世界-Web-新手区

一、view_source

题目描述:

X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

解决思路:
打开F12,查看网页源代码
在这里插入图片描述

拿到flag

cyberpeace{
   
   486c0bb86e85a7a04bf3675de3d9357c}

二、get_post

题目描述:

X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

解决过程:

  1. 打开后发现:请用GET方式提交一个名为a,值为1的变量

  2. 在路径后添加 ?a=1,发现又有新的问题:

    请再以POST方式随便提交一个名为b,值为2的变量

  3. 用Burp Suite进行抓包重新发送
    在这里插入图片描述

  4. 得到flag

    cyberpeace{
     
     b4b8028bbe315eb7ee4a804b72329254}

三、rebots

题目描述:

X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

解题过程:

  1. 了解robots协议:

    robots:搜索引擎经过一种程序robot(又称spider),自动访问互联网上的网页并获取网页信息。

    您能够在您的网站中建立一个纯文本文件robots.txt,在这个文件中声明该网站中不想被robot访问的部分,

    这样,该网站的部分或所有内容就能够不被搜索引擎收录了,或者指定搜索引擎只收录指定的内容。该文件默认在网站根目录下。

    所以直接访问该地址下的robots.txt文件看到flag文件后,访问该文件便可。

  2. 在这里插入图片描述

  3. 访问flag_ls_h3re.php

    在这里插入图片描述

  4. 得到flag

    cyberpeace{
     
     cfd7a84acc3b0314e85b47a2af6987fd}

四、backup

题目描述:

X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!

解题过程:

  1. 通过界面的提示,要找到index.php的备份文件

  2. 百度php备份文件
    在这里插入图片描述

  3. 访问index.php~没找到,访问index.php.bak下载了一个文件

    在这里插入图片描述

  4. 使用文本编译器打开该文件
    在这里插入图片描述

  5. 找到flag

    Cyberpeace{
     
     855A1C4B3401294CB6604CCC98BDE334}

五、cookie

题目描述:

X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?’

解题过程:

  1. 查看本地cookie,按F22
    在这里插入图片描述

  2. 查看到cookie中给了个提示cookie.php,访问cookie.php

  3. 给了提示,查看请求头,按F12查看请求头

  4. 在这里插入图片描述

  5. 找到flag

    cyberpeace{
     
     a85b6d6bd8477b670e6c92ee4f15a12e}

六、disabled_button

题目描述:

X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

解题过程:

  1. 使按钮能按下去,按F12,找到按钮的网页源代码
    在这里插入图片描述

  2. 删除后再点击按钮
    在这里插入图片描述

  3. 得到flag

    cyberpeace{
     
     787d3cfb5e97261e32ba91524b81cc40}

七、weak_auth

题目描述

小宁写了一个登陆验证页面,随手就设了一个密码。

解题过程:

  1. 使用1,1登录,提示要用用户名为admin的账户登录

  2. 使用Burp Suite拦截登录请求,使用intrder进行爆破
    在这里插入图片描述
    在这里插入图片描述
    3.上网搜索常见的弱口令字典,进行爆破
    在这里插入图片描述
    4.使用账户名:admin,密码:123456,获得flag

    cyberpeace{
     
     2ec781d3320b638faace14f57410ee4a}

八、simple_php

题目描述

小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

最低0.47元/天 解锁文章
QAX答题页面js逆向分析(二)
qq_44894994的博客
09-08 4795
继上一篇博客,主要讲解了页面分析的思路,没有什么可以实操的代码,因此在此继续开启一篇代码实现的文章,具体实现思路,参考上一篇博客:QAX答题页面js逆向分析(一)即可提示:以下是本篇文章正文内容,下面案例可供参考这次测试,基本能够达到了最初的答题满分的目的,也在一定程度上对自身掌握技术的重新认识,有了更好的前进方向。对于常见数据加密方式认识不足,需要恶补抓包工具使用不熟练,只局限普通的http请求,没能最大化发挥工具的作用。
kali自带的webshell工具weevely教程--并没有成功的教程
MOLLMY的专栏
08-08 4569
文章目录写在前面官方教程翻译xctf web 10 webshell最终还是用菜刀解决 写在前面 最近在做xctf的新手入门题,个人偏好web和reverse,crypto碰都不想碰。。 做到web 题第10题的时候遇到一个特别烦的问题,我自己主机上装菜刀等web shell不是下载时就被chrome删掉就是解压时被系统防火墙删掉,不敢把防护全关了,只能在虚拟机里再装个windows。 然而装起来...
CTF 网络安全大赛各类题型答案:从隐写术到漏洞利用,附详细解题步骤
最新发布
m0_59236602的博客
10-22 2050
题解仅为部分题解,包括:【Crypto】①MD5 ②password ③看我回旋踢 ④摩丝【Misc】①爆爆爆爆 ②凯撒大帝的三个秘密 ③你才是职业选手。
网页考试题目与答案
12-28
网页考试题目与答案,里面有详细的说明
浏览器的F12是干什么的?一共有哪些属性?
长风破浪会有时的博客
05-15 2635
F12是一个非常强大的工具,它可以帮助我们查看和修改网页上的内容,甚至还可以帮助我们调试网页的问题。这个工具通常被叫做“开发者工具”,因为它主要是给开发网页的人使用的。除了以上这些主要面板外,F12开发者工具还有很多其他的功能和属性等待你去探索。总的来说,F12是一个非常强大且复杂的工具,但只要你愿意花时间去学习和实践,它就可以成为你探索和理解网页世界的一把利器!当你按下F12键时,通常会弹出一个窗口,这个窗口里有很多不同的面板或选项卡,每个都有自己的特殊功能。
F12查看 web
weixin_41787147的博客
12-06 6752
攻防世界题目练习——Web引导模式(二)
qq_48550824的博客
10-12 1216
看源码可以知道,__wakeup()函数会强制将文件名转为index.php,因此我们需要绕过__wakeup()函数,接下来执行的__destruct()函数会输出对应文件的内容,我们需要让文件名显示为我们要查看的文件。的时候的结果,也就是说,这个网页在查询数据库时,应该是默认的查询的表名为"words",查询的列名为"id",所以我们把flag所在的表名改成words,列名改成id,就可以在网页查询1时获得flag。,1后面的单引号是多余的,因此触发报错,就可以判断我们输入的参数就是单引号闭合的形式。
攻防世界 web新手练习题解
weixin_46330722的博客
10-30 819
攻防世界 web新手练习题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码,我们直接来分析一下,首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。
攻防世界题目练习——Web引导模式(三)(持续更新)
qq_48550824的博客
10-16 1485
它能解析 .git/index 文件,并找到工程中所有的:文件名和文件 sha1,然后去 .git/objects/ 文件夹下下载对应的文件,通过 zlib 解压文件,按原始的目录结构写入源代码。下载完成后,因为看到前面的参考博客里是用的__init__.py文件来下载,于是在我下载的githacker-master的目录下的lib目录中找到了这个文件,按照那篇博客上的命令还是没法下载。/etc/passwd ,但是发现。在博客3讲的拼接不是很详细,没太懂这样构造之后在代码中是怎么拼接的,于是看了博客1.
攻防世界web练习题目解答
weixin_46262057的博客
03-22 5020
xctf的web练习题目解答。
作为一名测试人,快来恶补F12的用法!
qq_48811377的博客
01-26 1632
我们学习必然是为了找到高薪的工作,下面这些。
js答题参考脚本
热门推荐
history123的博客
06-27 1万+
网页答题,F12,提取出包含答案的字符串,粘贴在json.parse(''),单引号中间,脚本会自动按正确答案进行自动勾选。其实这个脚本稍微需要注意的就是setTimeout函数的运用。根据自己的实际应用环境对代码进行适当修改,借鉴思路和方法。 var jsona=JSON.parse(''); var questionlength=jsona.data.question.length; var ic=-1; var id=-1; for(var ia=0;ia<questionlength;i.
关于百度题库题目答案遮挡的问题的解决方法
monster663的博客
06-29 5531
某天笔者正在利用互联网检索知识,点看百度题库后突然看到了如下页面 感觉有点莫名其妙,百度题库什么时候还不能用了,通过这个广告遮挡就想影响我学习吗?? 解决方法很简单,F12找到一个叫做guide-to-app-mask的元素 然后右键删除,即可看到正确答案和解析,效果如下 好家伙,这就解决了,又可以快乐学习了! 如果有什么更简单的方法,欢迎留言! ...
中职网络安全隐藏信息探索思路以及讲解
FRANXX_02的博客
09-22 2911
中职网络安全隐藏信息探索思路以及讲解
页面隐藏元素利用F12进行定位
all_might1的博客
10-14 8660
解决方法:使用选取快捷键ctrl+shift+c 不知道如何操作可看下面步骤 目录 一、问题描述 二、问题解决 三、操作步骤 一、问题描述 最近在做测试自动化,测试需要取得该元素的唯一标识。对于下拉框等一些隐藏元素,必须鼠标点击后不进行其他操作,或者必须悬浮其上时才能展现。这样就没法直接使用鼠标去选中查看。 这个问题我之前也遇到过,但是自己写的代码,直接代码里debugger也能行,就没有在直接在页面选取的迫切需求。但时测试取得也有其他...
f12获取网页文本_赶紧码住!电脑F12健的3个隐藏功能,超实用
weixin_36474829的博客
01-01 4255
工作中遇到一些需要解决的问题,我们总是习惯性的上网百度查找工具,实际上在我们的电脑上就藏着很多不为人知的小秘密。比如电脑的键盘,不仅是文字输入的工具,隐藏的一些小功能,也能帮我们解决很多难题!接下来学霸君跟大家聊一聊有关「F12」的一些超实用的小功能吧!功能一:轻松获取网页图片有时候我们上某个图片网站,看到合适的图片想保存,却被告知要登陆付费才可以。这时候你可以选择按下「F12」,在跳出的弹框里选...
3 爬虫技术基础1——网页结构基础
Eric005的博客
08-04 1604
查看网页源代码—F12 按住F12或者Fn+F12,弹出来的界面叫开发者工具 左上角为选择按钮(点击之后再点击你想选中的内容他就会跳转到对应的代码) 其中Elements为(元素)选项卡,找到对应的文本进行修改,网页就会对应的修改 查看网页源代码—右键菜单 通过此操作能查看所需内容再网页源代码的位置,通过此方式打开也能通过Ctrl+F搜索(显示的为网页框架) 网址构成和http与https协议 “ https:// ”称为heeps协议,表明该网址某种程度上是安全的;有些网址则是:“ http://
【Python黑科技】自动答题项目代码分析(保姆级图文+实现代码)
MZH
06-06 7515
【Python黑科技】自动答题项目代码分析(保姆级图文+实现代码)
如何查看任意页面的HTML代码
星途码客的博客
05-22 2349
查看页面HTML源代码方法(该文内容适合初学HTML者)
C#编程面试题解- LEET代码练习
资源摘要信息:"C_Sharp编码练习" 本资源摘要信息专注于解析标题为"C_Sharp编码练习"的存储库,该存储库是一个专门针对使用C#语言编写的编码练习集。从描述中可以得知,创建者利用此存储库来准备面试,并解决LEET...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值