攻防世界-WEB新手练习区教程(一)

攻防世界WEB新手教程
原创 已于 2023-01-17 15:08:08 修改 · 838 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #网络协议 #攻防世界 #ctf #web安全

于 2022-11-07 12:36:19 首次发布
本文档详细介绍了攻防世界WEB新手练习区的多个实战题目解答过程,包括查看源代码获取flag、使用GET和POST方法提交变量、利用robots.txt发现隐藏资源、分析cookie等关键技巧。

目录

攻防世界-WEB新手练习区教程(一)

view_source

get_post

robots

backup

disabled_button

攻防世界-WEB新手练习区教程(一)

view_source

进入场景

提示flag并不在此

解web题目时尤其要注意查看网页源代码 很有可能会隐藏信息在源码中

ctrl+u 查看网页源码

flag出现

cyberpeace{5e9edd796e12ffedb7b6abdad1ba52e6}

get_post

进入场景

题目提示 用get传参方式提交变量

打开burp 抓包一下

右键单击 将抓到的包放进repeater中

在请求头GET部分添加参数 a=1

点击go放包 查看回显

出现提示以POST方式提交一个名为b的变量

最低0.47元/天 解锁文章
攻防世界WEB新手练习通关教程
玄道的网安博客
05-14 956
首先我们不多说直接来到web新手练习 view_source 获取场景 右键用不了,我们用F12来检查元素 Robots 我们在url中加上robots.txt 会看到个php地址,访问即可 Backup Index.php的备份文件,般备份文件为.bak后缀,访问即可 可以进行爆破文件后缀 Cookie 检查元素中cookie存储发现值为cookie.php,访问 看到消息头中有了flag disabled_button 检查
攻防世界misc进阶1-10详细教程
weixin_52127082的博客
04-08 729
2.下载好用wireshark打开,输入modbus,追踪流 TCP流 最终答案是sctf{Easy_Modbus}
攻防世界-WEB新手练习教程(二)
tzyyyyyy的博客
11-07 509
攻防世界-WEB新手练习教程 simple_js xff_referer weak_auth command_execution simple_php
攻防世界Repeater
最新发布
weixin_63186949的博客
10-21 452
所以,我们可以通过以上分析得出,我们首先需要通过输入name的时候插入个shellcode,然后再通过数组s的栈溢出漏洞,将v5的值改为3281697,然后可以获取main函数的基地址(因为程序开启了PIE保护,所以我们只有获取到了基地址,才能访问到shellcode)。此时我们需要个公式。所以即使将 shellcode 写入到 0x202040 的地址上,也并不知道 shellcode 在程序中存放的真实地址,需要先确定程序的基地址,就可以通过 真实地址 = 基地址 + 偏移地址 计算出来。
攻防世界-Web 简单入门-No.1
pone2233的博客
07-11 2623
文章目录比赛地址view_sourceget_postrobotsbackupcookiedisabled_buttoncyberpeace{23286d5010dee15644e560dabf702614}weak_authcommand_executionsimple_phpxff_refererwebshellsimple_js 比赛地址 攻防世界 :https://adworld.xctf.org.cn/ view_source 按F12检查下就找到了flag get_post 这个简单
攻防世界Web新手练习教程1-4
m0_45813696的博客
09-12 379
攻防世界Web新手练习教程 文章目录前言解题1.view_source2.get_post总结 前言 刚接触攻防世界Web方向,记录下自己的解题过程 提示:以下是本篇文章正文内容,下面案例可供参考 解题 1.view_source 分析:提示给出鼠标右键无法使用,无法通过点击右键的形式查看网页源代码,考虑其他查看源代码的方法(这里给出两种): (1)点击F12:F12是开发人员工具的快捷键,非常方便!!! (2)ctrl+u: 2.get_post 分析:提示给出的HTTP通常使用的两种
攻防世界reverse新手练习通关教程
玄道的网安博客
05-25 1605
open-source 下载附件打开来看看,三个条件达成即可 第个是0xcafe,第二个是满足or的个数字,第三个是h4cky0u 最后会输出key 把first注释掉,加上参数 编译c文件 gcc 1.c -o 2 ./2 0 25 h4cky0u 最后输出key即可 simple-unpack 我们先用扫描壳工具,发现有upx壳 进行脱壳 upx -d 直接拿去ida搜索flag即可 Logmein 直接加载进ida然后指定main按F5 s是
ctf web5 练习_CTF-攻防世界-WEB新手练习 Writeup(12题入门题)
weixin_33603656的博客
01-15 3884
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
攻防世界-- web新手练习-- writeup汇总
yisosooo的博客
09-22 2639
篇帖子包含所有题目。 第-- view_source 题目提示:鼠标右键好像不管用了。鼠标右键的主要功能之是选取网易源代码选项,所以可以F12来查看源代码。即可得到flag。 第二题-- get_post 题目提示:HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST. 第步:请用GET方式提交个名为a,值为1的变量,构造URL:http://111....
攻防世界-WEB新手练习
weixin_42271850的博客
02-05 1278
简述 这篇算是自己的第篇博客,写的目的主要是回顾个月前学习CTFWEB方向时的相关知识。因为那时刚刚接触网络安全也刚刚接触CTF,基本题都不会做,老是看了下题目就去网上搜相关的writeup了。现在做完了12道初级的题目后,打算重新做遍,按着自己学习到的思路过遍,也算是种积累和沉淀吧。 、view_source 从题目就能看到提示,是需要我们去查看源代码的,但是页面...
攻防世界-MISC新手练习题集(三)
tzyyyyyy的博客
11-09 1184
攻防世界-MISC新手练习题集 Erik-Baleog-and-Olaf can_has_stdio? Training-Stegano-1 simple_transfer 2017_Dating_in_Singapore pure_color
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
repeater攻防世界
qq_41696518的博客
09-01 2431
repeater 攻防世界
CTF-攻防世界web新手入门篇
weixin_45923850的博客
04-14 1万+
CTF练习题目
攻防世界WEB新手
qq_38969294的博客
03-23 1806
攻防世界WEB新手 1、view-source 点击获取在线场景 进入场景 这个时候联想到题目的名称view_source 是不是暗示我们查看源代码呢 按下F12 可以看到右边HTML代码中用注释的部分就是flag了。 CTF flag般都被表示为 flag{xxx} / cyberpeace{xxx} 下面介绍另外种解题方法 在地址栏中输入view-source: 样也可以获...
# repeater-攻防世界
32bin的博客
04-01 601
评论和私信会在第时间回复。或者我。本博客所有文章除特别声明外,均采用许可协议。转载请注明出处!如果您觉得文章对您有帮助,可以点击文章右下角**【推荐】**下。
攻防世界1-6题】题解和解题心得
weixin_51614272的博客
10-30 2742
攻防世界1-6题WP1.view_source解法解法二2.robotsRobots协议:3.backup解法解法二4.cookie解法解法二解法三5.disabled_button解法解法二解法三6.weak_auth 1.view_source 解法 题目描述:X老师让小宁同学查看个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 直接按F12点开代码看,flag就在那 解法二 抓包(◕ᴗ◕✿) 2.robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶
xctf 攻防世界 web
m0_55854679的博客
03-13 5575
xctf 攻防世界 web view source 原理: 查看网页源码 方法: 按F12键(如按F12没有用,可以同时按Fn+F12); cyberpeace{80816c5d107e33f3103324c8c4de1d91} 即为所要找的flag。 robots 原理: robots.txt是搜索引擎中访问网站的时候要查看的第个文件。当个搜索蜘蛛访问个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在
攻防世界pwn刷题记录
yw__y的博客
03-12 665
攻防世界web新手题backup
03-27
<think>好的,我现在需要解决用户在攻防世界Web新手题中关于“backup”的解题思路或资源的问题。首先,我需要回忆下相关的CTF题目解题方法,尤其是备份文件相关的常见技巧。 用户提到的题目可能涉及备份文件,比如常见的备份文件后缀名有.bak、.swp、.swo等。通常在Web题目中,访问这些备份文件可能会得到源码或其他关键信息,从而找到flag。 根据引用[1],在攻防世界练习的第12题中,通过备份文件得到了flag。例如,访问index.php的备份文件index.php.bak,下载后分析源码可能发现flag。另外,引用[2]中提到查看网页源代码的方法,虽然题目不同,但思路类似,可能需要查看备份文件的源代码。 接下来,我应该整理解题步骤。首先,尝试常见的备份文件路径,比如在URL后添加.bak,或者检查是否有备份文件被遗留。然后,下载备份文件并分析内容,查找flag的位置。同时,可能涉及到使用工具如curl或wget来获取文件,或者直接浏览器访问。 需要确认用户提到的backup题目具体是哪个,但般来说,备份文件相关的解题步骤比较通用。可能还需要注意文件名的大小写,或者尝试不同的备份后缀,如~、.tar.gz等。 最后,要确保回答符合用户的要求,结构清晰,并且引用提供的参考资料。还要生成相关问题,帮助用户进步学习。</think>### 攻防世界 Web 新手题 "backup" 解题思路 在CTF题目中,“backup”通常指通过网站备份文件(如`.bak`、`.swp`等)获取敏感信息或源码,进而发现flag。以下是常见的解题步骤: #### 1. **备份文件探测** - **常见备份文件名**:尝试在目标URL后添加备份文件后缀,例如: - 若题目页面为`index.php`,尝试访问`index.php.bak`、`index.php~`、`index.php.swp`等[^1]。 - 若题目涉及文件下载功能,可尝试路径遍历漏洞(如`download.php?file=../../backup.sql`)。 #### 2. **下载并分析备份文件** - **直接访问**:若备份文件存在,浏览器可能直接下载或显示源码。例如,访问`http://example.com/index.php.bak`,若返回文件内容,则用文本编辑器查看。 - **代码审计**:在备份文件中搜索关键字如`flag`、`cyberpeace{`或敏感函数(如`exec()`、`system()`),定位flag逻辑。 #### 3. **工具辅助** - **目录扫描工具**:使用`DirBuster`、`gobuster`等工具扫描网站目录,寻找备份文件。 ```bash gobuster dir -u http://example.com -w /usr/share/wordlists/common.txt -x bak,swp,php~ ``` - **手动验证**:结合题目提示(如页面注释、报错信息)缩小文件范围。 #### 4. **实战示例** 根据引用[1],在攻防世界某题中,通过访问`index.php.bak`下载备份文件,发现flag直接硬编码在源码中: ```php <?php $flag = "cyberpeace{cfd7a84acc3b0314e85b47a2af6987fd}"; ?> ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tzyyyyyy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值