xctf攻防世界web新手练习区--write up

最新推荐文章于 2025-05-22 00:20:17 发布
原创 最新推荐文章于 2025-05-22 00:20:17 发布 · 3.3w 阅读 · 72 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #ctf #攻防世界

文章目录

声明

此文是本人第一次写write up,作为一名萌新,如有描述不当,欢迎大家批评指正。

view source

题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
在这里插入图片描述
在这里插入图片描述
打开题目后显示FLAG is not here,而且题目描述提示鼠标右键不管用了。这时想到F12键打开开发者工具,查看器可以查看页面源代码。F12----查看器直接得到答案。
在这里插入图片描述

get post

**题目描述:**X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
在这里插入图片描述
刚打开题目,要求“请用GET方式提交一个名为a,值为1的变量”,GET方一般为在url后拼接参数,只能以文本的方式传递参数。因此直接在http://111.198.29.45:39706/后进行拼接http://111.198.29.45:39706/?a=1,输出结果为在这里插入图片描述
以get方式提交参数后,又要求“请再以POST方式随便提交一个名为b,值为2的变量”,提交post请求用火狐插件hackbar,
在这里插入图片描述
执行后输出cyberpeace{xxxxxxxxxxxxxxxxxxxxxxxxx}
在这里插入图片描述

robots

题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
在这里插入图片描述

首先我们来学习一下Robots协议。

Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。
robots协议通常以robots.txt存在,robots.txt文件是一个文本文件,robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。

robots.txt文件写法:

User-agent: * 这里的代表的所有的搜索引擎种类,是一个通配符
Disallow: /admin/ 这里定义是禁止爬寻admin目录下面的目录
Disallow: /require/ 这里定义是禁止爬寻require目录下面的目录
Disallow: /ABC/ 这里定义是禁止爬寻ABC目录下面的目录
Disallow: /cgi-bin/.htm 禁止访问/cgi-bin/目录下的所有以".htm"为后缀的URL(包含子目录)。
Disallow: /?* 禁止访问网站中所有包含问号 (?) 的网址
Disallow: /.jpg$ 禁止抓取网页所有的.jpg格式的图片
Disallow:/ab/adc.html 禁止爬取ab文件夹下面的adc.html文件。
Allow: /cgi-bin/ 这里定义是允许爬寻cgi-bin目录下面的目录
Allow: /tmp 这里定义是允许爬寻tmp的整个

最低0.47元/天 解锁文章

200万优质内容无限畅学
攻防世界 WEB 新手练习 writeup 007-012
ChaoYue_miku的博客
09-02 1437
007 simple_php 难度系数:1.0 题目来源: Cyberpeace-n3k0 题目描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 0x01 打开网页 有一段PHP源代码 0x02 进行代码审计 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numer
xctf攻防世界 crypto 新手练习--write up(持续更新中)
qq_43081170的博客
12-18 3008
文章目录base64CaesarMorseRailfence仅仅是Morseeasy RSARSA算法简介RSA计算公钥和私钥 base64 题目描述:元宵节灯谜是一种古老的传统民间观灯猜谜的习俗。 因为谜语能启迪智慧又饶有兴趣,灯谜增添节日气氛,是一项很有趣的活动。 你也很喜欢这个游戏,这,今年元宵节,心里有个黑客梦的你,约上你青梅竹马的好伙伴小鱼, 来到了cyberpeace的攻防世界猜谜...
攻防世界web入门-webshell write up
m0_62851980的博客
03-29 614
题目描述:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 这题重点在于对木马格式的了解和蚁剑的使用 打开网页页面只有一句话: 你会使用webshell吗? <?php @eval($_POST['shell']);?> 先来稍微了解一下木马:在php语言中,最简单的一句话木马语言为 : <?php @eval($_POST['attack']);?> 这句话中eval()函数表示括号内的语句字符串什么的全都当做代码执行,@表示后面..
攻防世界(Web)
她叫常玉莹
07-28 552
view_sourcerobotsbackupcookiedisabled_buttonweak_authsimple_phpget_postxff_refererwebshellcommand_executionsimple_js 博客新地址:c7ay.top view_source F12就能看到flag签到题,url前加view_source也可以 robots 查看robots.txt,disallow提示有php文件,访问得flag backup 题目很明显考察备份文件 php的备份.
CTF 解题报告:simple_php
最新发布
井底之蛙见世界
05-22 469
本次CTF挑战聚焦于PHP代码的安全审计,目标是通过构造特定的URL参数绕过代码中的条件判断,获取隐藏的flag。提供的PHP代码片段包含三个关键条件判断:第一个条件要求$a等于0且$a为真,逻辑上相互矛盾;第二个条件检查$b是否为数字;第三个条件要求$b大于1234。通过分析,发现可以利用PHP的松散类型比较和隐式类型转换特性,构造合适的参数绕过这些条件。具体Payload为a=Nan和b=1235abc,使得$a==0成立但$a为假,同时$b为非数字且数字前缀大于1234,从而触发flag逻辑。最终,通
xctf 攻防世界 web
m0_55854679的博客
03-13 5463
xctf 攻防世界 web view source 原理: 查看网页源码 方法: 按F12键(如按F12没有用,可以同时按Fn+F12); cyberpeace{80816c5d107e33f3103324c8c4de1d91} 即为所要找的flag。 robots 原理: robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件存在
python小记--攻防世界simple_js解题脚本编写
tzyyyyyy的博客
11-07 875
python小记--攻防世界simple_js解题脚本编写
XCTF-RE】新手练习-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师小宁同学查看一个网页源代码,但小宁同学发现鼠标右键好像管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 可以通过view-source:的方法来访问源码:html view-source:http://10.10.10.175:32796 在url中提交后便可访问页面源码,在源码中可找到flag。
一句话***(webshell)是如何执行命令的
weixin_34381687的博客
06-16 1983
      在很多的***过程中,***人员会上传一句话***(简称webshell)到目前web服务目录继而提权获取系统权限,论asp、php、jsp、aspx都是如此,那么一句话***到底是如何执行的呢,下面我们就对webshell进行一个简单的分析。首先我们先看一个原始而又简单的php一句话***。&lt;?php @eval($_POST['cmd']); ?&gt;看到这里赞美前...
webshell一句话
孤的博客
11-19 2424
PHP一句话 &amp;lt;?php eval($_POST1);?&amp;gt; &amp;lt;?php if(isset($_POST['c'])){eval($_POST['c']);}?&amp;gt; &amp;lt;?php system($_REQUEST1);?&amp;gt; &amp;lt;?php ($_=@$_GET1).@$_($_POST1)?&amp;gt; &amp;lt;?php
PHP一句话Webshell变形总结
test_20140325的专栏
09-28 3675
[笔记]PHP一句话Webshell变形总结 darkray @ WEB安全 2012-10-12 共 10565 人围观,发现 4 个明物体收藏该文 0×00 前言 大部分Webshell查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种足之前还
数据库上传WebShell的三种方式
m0_48520508的博客
08-08 3566
一、什么是WebShell? 简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。 为了更好理解WebShell我们学习两个概念: 什么是“木马”? “木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市.
第七题:simple_js(源代码详解)
Greedy Hat的博客
07-24 8043
第七题:simple_js(源代码详解)
JavaScript Simple
weixin_30487701的博客
03-31 156
ylbtech-JavaScript: 1.返回顶部 1、 2、 2.返回顶部 3.返回顶部 4.返回顶部 5.返回顶部 6.返回顶部 作者:yl...
XCTF-Mobile新手练习-08-app3解题记录与分析
资源摘要信息:"【XCTF-Mobile】新手练习-08-app3" 知识点一:CTF竞赛介绍 CTF(Capture The Flag)中文意为“夺旗赛”,是一种网络安全竞赛。参与者需要通过各种方式攻破主办方设置的关卡,夺取出题者事先设置好...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值