XCTF 攻防世界 web 新手练习

最新推荐文章于 2025-02-27 16:35:09 发布
最新推荐文章于 2025-02-27 16:35:09 发布
阅读量7.6k 收藏 7
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a895963248/article/details/97135377
版权

XCTFweb新手练习题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0

0x01 view_source

题目链接:http://111.198.29.45:51846/
题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
根据题目提示和标题,我们可以知道flag在网页源代码中,然而网页中我们无法使用鼠标右键点击查看源码,我们有以下两种方法
方法一
按F12,在设置中禁用JavaScript,就可以右键查看源码了在这里插入图片描述
方法二
在url前面加上view-source:即可查看网页源码

view-source:http://111.198.29.45:51846/

在这里插入图片描述
flag:cyberpeace{ae515780d11a5ba6093ab97272733031}

0x02 get_post

题目链接:http://111.198.29.45:43568/
题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
在这里插入图片描述
打开网页,要求我们用GET方式提交一个值为1的变量a
我们在url后面加上?a=1

http://111.198.29.45:43568/?a=1

在这里插入图片描述
让我们用POST方法提交一个值为2的变量b
用burp抓包
在这里插入图片描述
这是抓包的结果
1.我们将头中第一行改成POST 并加上url

POST http://111.198.29.45:43568/?a=1 HTTP/1.1

2.POST头部数据格式声明

Content-Type: application/x-www-form-urlencoded

3.post变量b=2

b=2

即可得到flag
在这里插入图片描述
flag:cyberpeace{2ba85496b616b36d30c6ad92ff515de3}

0x03 robots

题目链接:http://111.198.29.45:49016/
题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
Robots.txt 是存放在站点根目录下的一个纯文本文件,并且该文件是可以通过互联网进行访问的。虽然它的设置很简单,但是作用却很强大。它可以指定搜索引擎蜘蛛只抓取指定的内容,或者是禁止搜索引擎蜘蛛抓取网站的部分或全部内容。
所以我们在url后面加上robots.txt即可查看里面的内容

http://111.198.29.45:49016/robots.txt

在这里插入图片描述
可以看到有个f1ag_1s_h3re.php,打开即可看到flag

http://111.198.29.45:49016/f1ag_1s_h3re.php

最低0.47元/天 解锁文章
XQin9T1an
关注
攻防世界-WEB新手练习
weixin_42271850的博客
02-05 1194
简述 这一篇算是自己的第一篇博客,写的目的主要是回顾一下一个月前学习CTF中WEB方向时的相关知识。因为那时刚刚接触网络安全也刚刚接触CTF,基本一题都不会做,老是看了一下题目就去网上搜相关的writeup了。现在做完了12道初级的题目后,打算重新做一遍,按着自己学习到的思路过一遍,也算是一种积累和沉淀吧。 一、view_source 从题目就能看到提示,是需要我们去查看源代码的,但是页面...
攻防世界---web---新手练习
gclome的博客
11-02 607
get_post
攻防世界WEB新手模式)16-fileinclude
你好
02-27 422
在本题中,变量就是language,至于为什么选择base64编码方式,可以再bp里面爆破一下。至于最后一项为什么是flag而不是flag.php因为这句源码的意思就是:自动拼接文件名,将。进到题目提示,flag的位置在flag.php里面,因此提示这是一道文件包含的题目。那么接着我去查看了网页源代码,发现一串php代码,开始审计。了解搜索发现这是一个php为协议(常见的有以下几种)我一般会简单查看一下,发现什么都没有,一片空白。不为空),则加载对应的语言文件(如。中获取用户设置的语言值(
攻防世界web新手练习 攻略
weixin_46329549的博客
02-28 454
前言 web新手区题较简单,往后的分值较高的暂时做不下来。只是从中选取了几道比较有代表性的题目,不按照顺序,可以自己对照题目名称。 第一题 view_source 第一题较为简单,没什么难度,直接F12或者ctrl+u可查看源代码,获取flag。 第二题 robots 这道题主要是运用robots协议的理解,直接查看robots协议,找到flag的php访问拿到flag。(这道题用到了火狐) ...
攻防世界-Web(新手区)练习
weixin_51706044的博客
02-25 879
文章目录前言一、view_source二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 在这里记录了我对于学习攻防世界-新手区的Wbe题的总结 一、
XCTF攻防世界web新手练习_ 6_xff_referer
silence1_的博客
04-28 1万+
XCTF攻防世界web新手练习—disabled_button 题目 题目为xff_referer,描述信息 根据描述信息,知道题目应该与xff和referer相关 进入题目,看到 于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123 发送请求 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.c...
xctf攻防世界web新手练习--write up
热门推荐
qq_43081170的博客
07-05 3万+
** 文章目录 ** view source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开题目后显示FLAG is not here,而且题目描述提示鼠标右键不管用了。这时想到F12键打开开发者工具,查看器可以查看页面源代码。F12----查看器直接得到答案。 get post **题目描述:**X老师告诉小宁同学HTTP通常使用两种请求方法,你...
CTF-攻防世界web新手入门篇
weixin_45923850的博客
04-14 1万+
CTF练习题目
xctf攻防世界Web新手练习区robots单题思路
邱邱邱邱自强的博客
12-22 1540
xctf攻防世界Web新手练习区robots单题思路 @邱邱邱自强 前言 随着互联网的发展,互联网界的行为也越来越被重视,那么国际互联网界通行的道德规范是什么呢?它就是Robots协议。 一、Robots协议是什么? robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件。 二、使用步骤 1.方法 方法一: 通过百度网址,进入百度搜索引擎页面(https://www.baidu.com/) 如何利用百度查看网站的Robots协议 在搜索框里面随便输
XCTF攻防世界练习区简单题-web-GET Post
果冻先生的专栏
10-30 1118
0x02. get post 【题目描述】:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 【目标】 了解http请求方法,此处考察get和post两个最常用的请求方法。HTTP协议中共定义了八种方法或者叫“动作”来表明对Request-URI指定的资源的不同操作方式,具体介绍如下: ·GET:向特定的资源发出请求。 ·POST:向指定资源提交数据进行处理请求(例...
攻防世界web新手练习区详细(小白入门)
Firebasky的博客
05-06 4006
最近自己也做了一下攻防世界web题,自己作为一个小白也分享一下自己的感受理解和自己的思路。 (大佬绕过) 话不多说进入正题: 1、view_source 直接F12查看源代码 2、 robots 首先理解robots是什么? robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中搜索引擎网站的时候要查看的第一个文件。...
攻防世界web新手部分,进阶部分
舞动的獾
04-08 4794
title: 攻防世界第一题 date: 2019-04-08 19:31:23 author: 舞动之獾 top: false cover: true coverImg: https://img-blog.csdnimg.cn/20190408193755785.PNG categories: Markdown tags: web 网络安全 攻防世界新手第一题writeup 点击传送地址...
XCTF web新手区wp
qq_45414878的博客
11-02 267
XCTF web新手区wp title: XCTF web新手区wp date: XCTF web新手区wp 19:49:08 categories: xctf tags: [ctf,web狗的成长] 1、view_source F12查看页面源码,发现flag。 2、robots 看题目知道robots.txt里面应该有我们想要的东西-flag(robots.txt可以禁止网络爬虫爬取特定目录)。 3、backup 熟悉常见的备份文件扩展名,逐个测试,最终备份文件为:index.php.bak
#XCTF整理#web新手练习
vircorns的博客
08-31 481
view source 查看源代码,右键不能用就F12呗 get post get可以通过url直接传进去 post利用hackbar传入(get也可用hackbar直接传) robots 访问:http://111.198.29.45:47041/robots.txt里面有f1ag_1s_h3re.php 访问:http://111.198.29.45:47041/f1ag_1s_h...
XCTFweb新手入门题目WP
c1ean's Blog
09-20 426
XCTFweb新手入门题目WP 1.view source 提示是查看源代码,无法右键,那就直接F12打开开发者工具便可得到flag 2.robots 直接访问robots.txt文件可得到flag文件名称。 然后打开f1ag_1s_h3re.php文件便可获得flag. 3.backup 提示index.php的备份名,那便尝试index.php.bak,然后打开F12得到flag。 4.cookie 提示cookie那便打开F12,找到网络那一栏,可以看到一个提示叫我们查看cookie.php文
攻防世界-web-simple js
wuh2333的博客
05-06 852
攻防世界web,js
攻防世界-Web-新手-simple_js
weixin_31610083的博客
10-11 398
【题目描述】 小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 【附件】 在线场景 【过程及思路】 打开在线场景后弹出输入框: 尝试输入了几次后,发现都是这个结果。 老样子,先查看网页源码。 经过代码审计,发现很坑的一件事:输入到输入框的内容经过js的函数window.prompt来保存到变量h中,之后网页直接将h经过dechiffre()这个函数一顿操作,然后把一个不知道什么东西返回并弹出,最后...
【网络安全 | CTF】攻防世界 simple_js 解题详析
等风来
05-21 6662
被全局污染(我们并没有定义变量 p,JavaScript 将自动为我们创建一个全局 p 变量),函数每次都会返回上一次的解密结果(即undefined)题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )所以整个代码,是没有逻辑点可以绕过的,我们可以把整个代码当作无。的值为 undefined。而从第二次开始,因为变量。由于代码在解密函数开头并没有将全局变量。初始化,所以第一次运行时,变量。这里面应该是flag。再进行ASCII编码。
攻防世界-WEB-新手-webshell
weixin_31610083的博客
10-07 1251
【题目描述】 小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 【附件】 在线场景 【过程及思路】 打开在线场景后出现如下字样: 先看一些基础概念。 什么是webshell? webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将...
练习CTF网站推荐中文
最新发布
03-18
<think>好的,用户想寻找支持中文的CTF在线练习平台。首先,我需要回顾一下CTF的基本概念,确保自己理解正确。根据引用[1],CTF起源于1996年的DEFCON,是Capture The Flag的简称,分为线上初赛和线下决赛。用户需要中文内容,所以推荐平台时语言支持是关键。 接下来,我需要回忆或查找国内常用的CTF平台。常见的比如CTFHub、XCTF社区、实验吧(虽然可能已关闭)、合天网安实验室、阿里云CTF平台等。需要确认这些平台是否提供中文界面和题目,是否有活跃的中文社区支持。 然后,考虑用户可能的需求:中文题目描述、中文writeup、社区讨论。比如,CTFHub专注于中文用户,题目分类清晰,适合新手XCTF由高校团队维护,可能更专业。合天网安有实战演练,适合结合理论。阿里云CTF可能与企业相关,帮助求职。 还要注意用户提到的引用中提到的解题示例,如引用[2]和[3]中的解题思路涉及文件修复、RSA解密等,说明用户可能对密码学、逆向工程等方向感兴趣。因此推荐的平台应涵盖这些题型,并提供中文指导。 需要验证每个推荐的平台是否还在运营,比如实验吧是否可用,如果关闭了,可能需要替换为其他平台。同时,考虑平台的更新频率和题目难度分级,帮助用户逐步提升。 最后,确保回答结构清晰,分点推荐,每个平台简要介绍特点和适用人群,并引用相关引用资料中的信息来支持推荐,比如引用[1]说明CTF的重要性,引用[3]中的解题思路可能对应平台中的实际题目类型。</think>### 支持中文的CTF在线练习平台推荐 #### 1. **CTFHub(https://www.ctfhub.com)** - **特点**:专为中文用户设计,提供系统化的CTF学习路径,涵盖Web安全、密码学、逆向工程等方向。题目难度分级明确,适合新手到进阶选手。 - **优势**:包含详细的题目解析和中文Writeup,支持在线实验环境,可直接在网页端操作[^1][^3]。 - **适用场景**:适合系统性学习CTF基础技能,尤其是需要中文指导的初学者。 #### 2. **XCTF社区(https://www.xctf.org.cn)** - **特点**:由国内高校和网络安全团队联合发起,整合了国内外CTF赛事信息,提供在线训练题库。 - **优势**:题目类型多样化,包含实战模拟和历年竞赛真题,部分题目提供中文提示和讨论区支持[^1][^4]。 - **适用场景**:适合参与竞赛前模拟训练或学习真实场景的漏洞利用技术。 #### 3. **合天网安实验室(https://www.hetianlab.com)** - **特点**:以中文实验课程为核心,结合CTF题目和网络安全知识,涵盖Web渗透、二进制漏洞分析等方向。 - **优势**:提供视频教程与实验报告模板,适合理论与实践结合的学习方式。 - **适用场景**:适合需要从基础到实战过渡的学习者,尤其是高校学生。 #### 4. **阿里云CTF平台(阿里云安全挑战赛)** - **特点**:由阿里云安全团队主办,定期举办中文CTF赛事,题目与企业实际安全场景相关。 - **优势**:题目设计贴近行业需求,优秀选手有机会获得企业内推资格[^2][^4]。 - **适用场景**:适合求职者或希望了解企业级安全攻防技术的人群。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值