XCTF-web新手区(1)

最新推荐文章于 2023-08-10 19:11:36 发布
原创 最新推荐文章于 2023-08-10 19:11:36 发布 · 314 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web

本文详细介绍了解决XCTF-web新手区挑战的方法,包括利用F12查看源代码、使用hackbar插件进行GET和POST请求、解析robots.txt文件、分析备份文件及通过拦截cookie获取flag。

XCTF-web新手区(1)

因为自己专业是信息安全,想尝试一下ctf,又加上自己对前端有一定的理解,就选了web这一方向。

view_sorce

在这里插入图片描述
这一题主要考查F12查看网页源代码的能力,直接F12看网页源代码即可看到flag。
在这里插入图片描述

get_post

在这里插入图片描述
进入网站后:在这里插入图片描述

我这里用的是火狐浏览器里面的一个hackbar插件。
在这里插入图片描述
提交完a=1后:
在这里插入图片描述
此时勾选post data,提交b=2。就可以得到flag了。
在这里插入图片描述
在这里插入图片描述

robots

在这里插入图片描述
首先进去,查看网页源发现:
在这里插入图片描述
看题,其中robots协议是网站与爬虫之间的协议,以txt文件方式用来告诉访问权限,所以我们访问网页robots.txt
在这里插入图片描述

所以我们访问flag_ls_h3re.php,得到flag。
在这里插入图片描述

backup

在这里插入图片描述

进入网页发现,访问index.php的备份文件即index.php.bak在这里插入图片描述在这里插入图片描述
下载后得到flag:
在这里插入图片描述

cookie

在这里插入图片描述
进入网页后,我用bp进行拦截,提示看cookie.php,访问:
在这里插入图片描述
访问后,提示查看response,得到flag:
在这里插入图片描述

adworld.xctf-web-新手练习刷题
BROTHERYY的博客
05-07 1228
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
XCTF-web-新手题目
Lorezon的博客
11-04 1073
自我总结用 一:view_source 一般都是先看源码。 自己就出来了。 二:get_post 用hackbar 继续 完成。 三:robots 进去发现空白,什么都没有。根据题目robots,那就来查看robots协议: 再访问 f1ag_1s_h3re.php 完成。 四:backup 先来看常见的文件名后缀:常见的备份文件后缀名有.git、.svn、.swp、.~、.bak、.bash_...
view-source协议
清箫的专栏
01-06 8602
view-source是一种协议,早期基本上每个浏览器都支持这个协议。后来Microsoft考虑安全性,对于WindowsXP pack2以及更高版本以后IE就不再支持此协议。这个方法现在只能用在FireFox浏览器上使用了! 如果要在IE下查看源代码,只能使用查看中的"查看源代码"命令.   以前的使用方法:在浏览器地址栏中输入   view-source: sURL  回车即可
Scene场景视图
weixin_30273763的博客
05-02 324
场景视图 The Scene View 是您创建的世界的交互式视图。 您将使用场景视图来选择和定位的风景,人物,摄影机,灯光,和所有其他类型的游戏对象。 能够选择,操作和修改场景视图中的对象是您必须学会开始在Unity中工作的第一个技能。 可视化展现与编辑当前场景中所有的游戏对象 飞越模式:按住鼠标右键和W A S D键进入快速第一人称视图导航。 飞行浏览模式下按Shift键会使移动加速...
xctf-web 新手练习
尊暮萧的博客
05-31 432
view_source 这道题没什么说的,禁用右键了,F12开发者工具就可以直接调出来,直接出结果了。 robots 题目描述很明显,robots,那就在地址栏后面加上robots.txt 访问这个页面 f1ag_1s_h3re.php 就可以了 backup 通常后缀加上bak就是备份文件,试试? 下载了,打开之后出flag cookie 那我们就查看cookies,发现look-here,value指向一个页面,二话不说访问页面 让我们看请求头,果然有flag disabled_bu
XCTF-WEB新手题day1
总有妖怪想害朕
09-25 1104
view_source 难度系数:1 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解题工具:谷歌浏览器、burpsuite 解题思路:1、打开场景,按F12键 2、也可以使用burpsuite解密 robots 难度系数:1 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解题工具:谷歌浏览器 解题思路:打开场景,发现是空白的,根据标题,联想到robots.txt,得到flag的提示,再搜php文件得到f
XCTF-Web新手-PHP2 (NO.GFSJ0234)
MANCXUARY的博客
08-10 655
XCTF攻防世界WEB新手题PHP2
xctf-web新手一些小知识
Amire0x的小乐园
08-21 216
back-up 查一查 如果网站存在备份文件,在地址栏最末加上/index.php~或/index.php.bak,即可得到备份文件 然后下载备份文件查看即可 simple_php php比较 松散比较:使用两个等号 == 比较,只比较值,不比较类型。 严格比较:用三个等号 === 比较,除了比较值,也比较类型 PHP是一种弱类型的语言,对于数字0和空字符串在进行布尔运算的时候都会转换为false;会自动转换类型然后进行比较,比如字符串’0’和数字0比较的时候会返回true;而对于=则会同时比较类型和变量值
XCTF-WEB新手题day2
总有妖怪想害朕
09-27 326
backup 难度系数:1 题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 解题工具:谷歌浏览器 解题思路: 第一步:输入场景给的网址http://220.249.52.133:33803/得到这样一个界面 第二步:index.php的备份文件名有.git、.svn、.bak、.swp等,一个个试过去,发现输入bak弹出一个文件220.249.52.133:33803/index.php.bak 第三步:打开之后,得出正确答案 cookie 难度系数:1 题目描述
xctf--新手--guess_num
gclome的博客
04-20 952
writeup 老规矩,先checksec下,查看保护机制 64位程序,保护机制全开啊,不过不慌,先运行一下大致看看 两次输入分别是Your name和 guess number ,其余皆是程序输出,貌似没有得到什么有用的东西。 再次借助强大的IDA查看源码: 分析源码得知,我们要输入十次随机数产生的值,如果一次错,那就GG,十次全部输入正确,就success!,flag应该就藏在succes...
XCTF-Mobile新手入门挑战:解析‘你是谁’解题记录
资源摘要信息:"【XCTF-Mobile】新手练习-11-你是谁.rar" 标题中“XCTF-Mobile”指的是一系列移动设备安全相关的CTF(Capture The Flag)竞赛,其中CTF是一项信息安全竞赛,旨在通过解决各种安全挑战来提高参赛者...
xctf_web题解(入门1--6)
HelloWorld's blog
12-13 2874
xctf_web题解(新手1—6) ps:说明一下,这次这个题解可能是比较是比较low的,因为前一段时间在玩学校的vhdl来实现eda的大作业,花了我一段比较长的时间,另外之前一段时间再刷密码学的相关知识,也没这么去了解这个web这个方向的,对于小组内的blog我也就只能写写题解了,以后可能做了一些项目会写一些其他有意思的东西 1.view_source 据题目描述,这道题的flag应该是在网页的源代码中的,但是鼠标右键点不了。那么这里有其他的解决方法,我在这里主要说两个解决方法:1.就是在网址上直接输
微信小程序云开发实现微信小程序订阅消息服务通知教程
hell_orld的博客
12-05 8771
微信小程序订阅消息服务通知申请模板 申请模板
微信小程序之用camera实现类似扫码枪连续扫码
hell_orld的博客
08-24 7022
微信小程序之用camera实现类似扫码枪连续扫码 搜了优快云里面的文章,除了有一篇有关微信小程序(用微信小程序里面代码实现)扫码的功能,其它都是用别的(原博文是:小程序连续扫码实现但是他只是实现了一次扫码后就不能再继续扫码了,在js代码部分出现了错误。博主讲得很详细,我只是在js部分进行了修改。),自己在想做一个小程序时就进行了修改尝试,结果还行! 首先是,camera组件中需要知道mode=“scanCode” 是扫码的模式,bindscancode='takeCode’是在扫码识别成功时触发,仅在 m
python实现AI井字棋极大极小算法和Alpha-beta算法
hell_orld的博客
11-07 5200
python实现AI井字棋极大极小算法和Alpha-beta算法程序设计思路主要步骤和代码对于两个算法流程图运行结果 程序设计思路 大致思路: 井字棋最后的结果无非就是玩家赢、电脑赢和平局三种结果,而最后的结果正对应这整棵棋盘生成树的叶子节点,那么可以把玩家赢、电脑赢和平局三种结果赋值,然后根据当前深度是Max层还是Min层来,往上推出该子节点的父子节点的值,一直往上走到根节点,这也正是极大极小搜索的一个过程,而alpha-beta算法只要在极大极小上加以修改即可。 主要步骤和代码 1、 棋盘:用一个长度为
python+scapy实现ARP欺骗
hell_orld的博客
10-24 4880
python+scapy实现ARP欺骗需要下载的库ARP欺骗原理源代码:运行结果 需要下载的库 可以直接通过pip下载 pip install scapy ARP欺骗原理 设网关的IP为10.10.10.1,MAC为11:22:33:44:55:AA; 攻击主机的IP为10.10.10.3,MAC为11:22:33:44:55:CC; 受害主机的IP为10.10.10.2,MAC为11:22:33:44:55:BB; 1、攻击主机向网关和目标主机发送ARP欺骗报文,告诉目标主机pc2我是网关,但包中的m
python爬虫之爬取多篇含有关键词的文章标题和内容优化
hell_orld的博客
09-15 3896
python爬虫之爬取多篇含有关键词的文章标题和内容优化需要和前篇联系起来实现的功能代码设计思想源代码 需要和前篇联系起来 python爬虫之爬取多篇含有关键词的文章标题和内容 实现的功能 爬取多个关键字的文章标题和内容(将要爬取的关键词放在一个数组中,通过for进行遍历),并且每个关键字创建一个文件夹,每篇文章放在独自一个txt文件里面,运行结果(自己调试时,只设置页面为2,数组为两个): 代码设计思想 可以观看前面那篇python爬虫之爬取多篇含有关键词的文章标题和内容 ,因为这篇代码是对上一篇的
Visual Studio 2017之OpenMP运行环境配置
hell_orld的博客
11-29 2761
Visual Studio 2017 OpenMP运行环境配置配置 OpenMP 开发和运行环境针对 Visual Studio 做如下配置:测试是否配置成功 配置 OpenMP 开发和运行环境 现流行的 C/C++编译器基本上都支持 openmp 编程,只需在编译器上启动 openmp 选项即可。但是在开启 OpenMP 编译选项之后程序较难调试。建议在单线程环境下进行 debug,确定程序运行正确后在多线程模式下进行实验。 针对 Visual Studio 做如下配置: 配置 Debug 环境(即开发
Java爬虫之爬取多篇含有关键词的文章标题和内容
hell_orld的博客
11-19 2499
Java爬虫之爬取多篇含有关键词的文章标题和内容实现的功能需要用到的jar包需要对html一些标签有一定的了解代码设计思想源代码 实现的功能 该代码针对维科网写的爬虫,具体如果想写其它的可以照着这篇模仿来写! 输入想要搜索的关键字和输入关键字后的前几页页数(即输入关键字后跳转的网页的页数,如下图) 将包含关键字的文章标题和内容提取出来保存在一个txt文件里面(如下图,输入关键词为智能,前2页) 需要用到的jar包 获取文章信息需要的包:Jsoup; 需要对html一些标签有一定的了解 可以到w3cs
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值