攻防世界 WEB 第三波3道题

本文解析了攻防世界WEB第三波的三道题目,包括如何通过修改URL参数和使用特定工具来解决PHP代码谜题,获取flag的过程及技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻防世界 WEB 第三波3道题

(原创)

第七题:

打开情景:
在这里插入图片描述
观察这个php代码
通过3个if语句,可以求出flag(即将flag1和flag2合一块)。
第一个if:要求a=0;
第二个if:要求b不为数字;
第三个if:要求b要大于1234.。
在这里插入图片描述
在url上改变a,b的值,得到flag。

第八题:

打开情景:
在这里插入图片描述
在url上提交a的值为1。
在这里插入图片描述
在Firefox上是使用插件hackbar提交b的值。
在这里插入图片描述
最后得到flag。

第九题

打开情景:
在这里插入图片描述
打开审查元素。
在这里插入图片描述
改变IP值。
在这里插入图片描述
得到flag。
在这里插入图片描述

<think>好的,我现在需要解决用户在攻防世界Web新手中关于“backup”的解思路或资源的问。首先,我需要回忆一下相关的CTF目解方法,尤其是备份文件相关的常见技巧。 用户提到的目可能涉及备份文件,比如常见的备份文件后缀名有.bak、.swp、.swo等。通常在Web目中,访问这些备份文件可能会得到源码或其他关键信息,从而找到flag。 根据引用[1],在攻防世界练习区的第12中,通过备份文件得到了flag。例如,访问index.php的备份文件index.php.bak,下载后分析源码可能发现flag。另外,引用[2]中提到查看网页源代码的方法,虽然目不同,但思路类似,可能需要查看备份文件的源代码。 接下来,我应该整理解步骤。首先,尝试常见的备份文件路径,比如在URL后添加.bak,或者检查是否有备份文件被遗留。然后,下载备份文件并分析内容,查找flag的位置。同时,可能涉及到使用工具如curl或wget来获取文件,或者直接浏览器访问。 需要确认用户提到的backup目具体是哪一个,但一般来说,备份文件相关的解步骤比较通用。可能还需要注意文件名的大小写,或者尝试不同的备份后缀,如~、.tar.gz等。 最后,要确保回答符合用户的要求,结构清晰,并且引用提供的参考资料。还要生成相关问,帮助用户进一步学习。</think>### 攻防世界 Web 新手 "backup" 解思路 在CTF目中,“backup”通常指通过网站备份文件(如`.bak`、`.swp`等)获取敏感信息或源码,进而发现flag。以下是常见的解步骤: #### 1. **备份文件探测** - **常见备份文件名**:尝试在目标URL后添加备份文件后缀,例如: - 若目页面为`index.php`,尝试访问`index.php.bak`、`index.php~`、`index.php.swp`等[^1]。 - 若目涉及文件下载功能,可尝试路径遍历漏洞(如`download.php?file=../../backup.sql`)。 #### 2. **下载并分析备份文件** - **直接访问**:若备份文件存在,浏览器可能直接下载或显示源码。例如,访问`http://example.com/index.php.bak`,若返回文件内容,则用文本编辑器查看。 - **代码审计**:在备份文件中搜索关键字如`flag`、`cyberpeace{`或敏感函数(如`exec()`、`system()`),定位flag逻辑。 #### 3. **工具辅助** - **目录扫描工具**:使用`DirBuster`、`gobuster`等工具扫描网站目录,寻找备份文件。 ```bash gobuster dir -u http://example.com -w /usr/share/wordlists/common.txt -x bak,swp,php~ ``` - **手动验证**:结合目提示(如页面注释、报错信息)缩小文件范围。 #### 4. **实战示例** 根据引用[1],在攻防世界中,通过访问`index.php.bak`下载备份文件,发现flag直接硬编码在源码中: ```php <?php $flag = "cyberpeace{cfd7a84acc3b0314e85b47a2af6987fd}"; ?> ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值