攻防世界 WEB

已于 2022-12-26 20:56:48 修改
阅读量1.4k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: WEB 文章标签: 前端
于 2022-02-11 19:21:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_64702918/article/details/122877455

攻防世界 新手区 WEB

view source

查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了,那就F12吧!
在这里插入图片描述

或者 ···→更多工具→开发人员工具→元素。

robots

X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
题目提示明显,但究竟什么是Robots协议?度娘一下吧!

Robots协议用来告知搜索引擎哪些页面能被抓取,哪些页面不能被抓取;可以屏蔽一些网站中比较大的文件,如:图片,音乐,视频等,节省服务器带宽;可以屏蔽站点的一些死链接。方便搜索引擎抓取网站内容;设置网站地图连接,方便引导蜘蛛爬取页面。

在这里插入图片描述
将Robots.txt转填图下内容,flag出现。
在这里插入图片描述

​​​​backup

他派小宁同学去把备份文件找出来?那么什么是备份文件呐? 放出提示了!
在这里插入图片描述

改成index.php.bak吧!然后就会得到一个文件。
在这里插入图片描述

记得把后缀.bak删去哦!

cookie


X老师告诉小宁他在cookie里放了些东西,这句话,一定有用。先来度娘一下!什么是cookie?从而对于cookie有一定的了解!

由此可得Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可以帮助我们实现记录用户个人信息的功能。

在本学期计算机导论也有相关的表述(学好每一门都很重要):我们经常使用浏览器,也会访问一些网站,这个网站有在你计算机内记录数据(称为cookie)的能力,从而了解到你曾经访问过该网站。然后这些cookie可被用来识别再次浏览的人并记录这些人以前的活动,以便以后更高效地处理这些人的访问(比如推荐常看的内容)。计算机上的cookie还可提供你访问网站的记录。

目前而言:主要为学习阶段,对与问题的解决,尝试解题的方法重在多样!

法1:扩展

在网站,借助Google浏览器(网上是这么说的,其他浏览器也不知道行不行!我这没有其他浏览器)和EditThisCookie来解题:
首先要在扩展里添加一个EditThisCookie。利用EditThisCookie来查找Cookie值是cookie.php。
在这里插入图片描述

接下来访问他!
在这里插入图片描述
通过开发者工具(快捷方式F12也行,我的电脑不支持),在网络中找到cookie.php(没有就按照他的提示刷新一下),点击它,在标头中可得flag!
在这里插入图片描述

注意 :此前大多flag藏在开发者工具,在元素中,这是我遇见第一个在网络中的题!

法2:burpsuite使用

先整个使用教程…
绝对目前为止遇到的最复杂的使用软件(没有找到一个完整的安装教程),导致安装过程十分杂乱,关键全英看不懂,就离谱!一度以为自己的电脑坏了。
这是我遇到的一个问题,CA证书的安装和卸载
还有一个手动代理打开途径:在这里插入图片描述
言归正传,使用BurpSuite抓包查看网站Cookie信息:
在这里插入图片描述
Cookie对应的值是:look-here=cookie.php,接下来和第一种方法一样,访问他呗!得出页面与先前一样。
在这里插入图片描述
再抓一次,即得!(软件之间存在差别)

最低0.47元/天 解锁文章

200万优质内容无限畅学
2024年网络安全最新攻防世界Web题 - unseping 总结_unseping攻防世界
2401_84302722的博客
05-01 470
【代码】2024年网络安全最新攻防世界Web题 - unseping 总结_unseping攻防世界
CTF 攻防世界 Web: SSRF Me write-up
qq_60256199的博客
11-22 769
CTF 攻防世界 Web: SSRF Me write-up
web | CTF】攻防世界 wife_wife
weixin_46301214的博客
06-06 8000
我暂时没搞明白这题目意义何在,好像跟实战有点偏离的太远了,用JavaScript服务器来处理登录?账号密码不存放数据库?存缓存里?能让所有人注册管理员账号?太扯淡了。
【愚公系列】2023年06月 攻防世界-Web(wife_wife)
时光隧道
06-13 5388
JavaScript原型链污染是一种黑客攻击方式,利用JavaScript中的原型继承链来污染一个对象的原型继承链,从而影响整个应用程序的执行逻辑。攻击者会利用一些漏洞或者不恰当的代码实现,将恶意代码注入到原型对象中,然后通过继承链的方式将恶意代码传递给整个应用程序。攻击者通常将恶意代码注入到全局对象或者重要对象的原型中,例如等,从而污染整个应用程序。jQuery Prototype Pollution漏洞:攻击者通过修改jQuery的方法来污染,使得在后续的代码中,可以在任何位置调用。
BugKu Web渗透之Post
最新发布
cai_huaer的博客
05-27 209
选择后,首先load URL,再勾选下面的Post data选项,再在传参框中写上what=flag。将方法GET改成 POST,然后添加一个 Content-Type: application/x-www-form-urlencoded,之后空一行再写上传的参数 what=flag。一般get请求,我们直接添加在URL后面就行了,但是post请求一般都是在body里面的。根据代码显示,post请求传参一个what的参数,值等于flag时,将会打印出flag。之后点击send按钮,直接返回flag。
WEB:Wife_wife
32bin的博客
03-22 3146
get flag参考:https://www.rstk.cn/news/25963.html?
攻防世界-web】ics-06
weixin_73625393的博客
10-28 1866
点击【设置】后,将代理改为【手动配置代理】,将HTTP代理内容改为在brupsuite中查看到的代理ip,更改完后点击【确定】框3是对可疑的数据进行暴力破解,需要将它做个标识,将光标放到1前,然后按框4的键,对1标识进行暴力破解,鼠标右键,点击【Send to Intruder】发送到【Intruder】,快捷键为【Ctrl+l】方法一:打开【设置】后,在【常规】中,翻到最下边,找到【网络设置】,打开【设置】返回下图界面,进行设置,设置完成后,按框5,执行。点击框5后,破解,下图为正在破解中。
攻防世界Web新手练习篇
m0_63944500的博客
11-19 3099
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
攻防世界web第十题Web_python_template_injection
ren186的博客
12-31 368
攻防世界web第十题Web_python_template_injection
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1542
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
HackBar 无法提交 post请求
weixin_49369665的博客
09-15 1375
在练习 pikachu靶场 中 SQL-inject模块下数字型注入(post)关卡时候,尝试用hackbar提交payload时候点击excute没有反应。
记一次解决HackBar无法提交post请求参数方法
m0_47470899的博客
07-15 1万+
问题背景 在做sqli-labs Less-11时,发现这是一个post请求,当尝试用hackbar提交SQL注入语句时,点击excute没有反应,困惑了好久,在网上搜索了各种解决办法,没有解决。然后试着换一个浏览器,用谷歌试一下,发现同样是无法正常提交,但是这次它有提示报错:form.submit is not a function 然后就在网上搜索这个报错,发现是submit的问题 form.submit is not a function解决办法 解决办法 初始post 更改后的(仅仅将submit
ctf get post 传参 HackBar
热门推荐
weixin_44614983的博客
01-31 3万+
get和post是http协议的两种基本请求方式 GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据 https://www.w3school.com.cn/tags/html_ref_httpmethods.asp 知乎上这篇更详细,关于get和post的区别 https://www.zhihu.com/question/28586791 web题中会遇到,比如...
攻防世界web篇(二)
weixin_51387754的博客
09-30 584
攻防世界是一群信息安全大咖共同研究的答题、竞赛、以游戏方式结合的一款新型学习平台,融入多种场景在线题型,集实战、理论、趣味于一体。让更多的安全爱好者参与挑战,从赛题中学到知识,从玩法中找到乐趣的全新体验。本次正式上线推出轻量级高品质网络安全竞赛产品——自助办赛,建立了一套费用低、轻量级、可配置的网络安全竞赛解决方案,
[网安工具] 浏览器漏洞探测辅助插件 —— HackBar · 使用手册
Blue17 の 小窝
08-18 4942
HackBar 是一个辅助进行网络渗透测试和安全评估的浏览器插件。它提供了一系列快捷工具和功能,可以帮助用户执行各种网络攻击和测试,包括 XSS、SQL 注入、CSRF、XXE、路径穿越等漏洞,以下是 HackBar 插件的一些主要特点和功能:自定义请求发送HackBar 允许用户自定义 HTTP 请求,并可以通过插件直接发送这些请求。用户可以手动构造 GET 和 POST 请求,并添加自定义的 HTTP 头部、参数等信息。编码/解码工具。
CTFshowWEB2解法2之hackbar
zoixsoadji的博客
02-28 1067
前言 之前用了bp做注入,这次闲着无聊用hackbar来做一遍,原理跟代码都一样(我纯属就是闲的) 解题: 进入题目 还是老方法,先用万能密码登陆 打开提前翻墙下载的hackbar(之前不久会用的,有些功能不会用,I'm so vegetable....) 在谷歌应用商店就能下载 点击load自动填入路径 注入成功,开始检查回显位 点击execute可以发包,类似bp中的send 找到回显位,开始查数据库 查询该库下的表名 查询表...
文件上传漏洞-HackBar使用
Xlucas的博客
08-05 1086
HackBar 是一个用于浏览器的扩展插件,主要用于进行网络渗透测试和安全评估。它提供了一系列方便的工具和功能,可以帮助用户执行各种网络攻击和测试,包括 XSS、SQL 注入、CSRF、路径穿越等。
工具介绍《HACKBAR V2》
qq_46143339的博客
03-05 1146
HackBar V2 是一款功能强大的浏览器渗透测试工具,主要用于测试 SQL 注入、XSS 漏洞、POST 传参等安全场景。以下是其核心功能、用法及实际案例操作的综合介绍:Load URL 功能:将当前浏览器地址栏的 URL 加载到 HackBar 输入框中,便于直接修改参数。 用法:点击 按钮或使用快捷键 。 案例:在 DVWA 的 SQL 注入低安全级别下,输入 提交后,通过 加载 URL 至输入框,便于后续注入操作。Split URL 功能:自动分割 URL 中的参数,快速定位可修改的注入点。
攻防世界web
03-23
### 推荐的网络安全攻防 Web 学习资源 以下是几个推荐的学习资源,这些资料可以帮助初学者了解网络安全攻防的基础知识并逐步深入: #### 1. **Web 安全基础** - 可以从一份名为《Web安全攻防入门教程》的内容入手...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值