web-新手练习区

最新推荐文章于 2022-12-18 19:19:37 发布
原创 最新推荐文章于 2022-12-18 19:19:37 发布 · 316 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#攻防世界 #Web

本文介绍了攻防世界Web新手区的几个练习,包括通过查看源码获取flag、利用robots协议构造URL、查找备份文件、解除按钮禁用以及解决简单的JS和PHP谜题。通过这些实践,读者可以学习到Web安全的基础知识。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • view source

直接翻看源码得到flag:

  •  get post

两种传参方式,get可直接从地址栏中传递参数,post需要在控制台中传参:

接着是用post传递:

得到flag:

  • robots

robots协议,关于爬虫的,地址栏直接构造robots.txt,得到flag地址:

访问即得到flag:

  •  backup

备份文件,构造index.php~或index.php.bak,后者可以直接下载备份文件,此题用的是后者:

打开下载的文件,得到flag:

  • disabled button

打开控制台,发现按钮标签被禁,删掉即可:

 点击按钮得到flag:

  •  simple js

进入后,出现弹框让输入密码,直接查看源码:


    function dechiffre(pass_enc){
        var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
        var tab  = pass_enc.split(',');
                var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;
                        k = j + (l) + (n=0);
                        n = tab2.length;
                        for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i]));
                                if(i == 5)break;}
                        for(i = (o=0); i < (k = j = n); i++ ){
                        o = tab[i-l];
                                if(i > 5 && i < k-1)
                                        p += String.fromCharCode((o = tab2[i]));
                        }
        p += String.fromCharCode(tab2[17]);
        pass = p;return pass;
    }
    String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"));

    h = window.prompt('Enter password');
    alert( dechiffre(h) );

 不用理解具体的加密匹配过程,字串:

 "\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"

即是密码(flag)

python转码即可:

str1='\\x35\\x35\\x2c\\x35\\x36\\x2c\\x35\\x34\\x2c\\x37\\x39\\x2c\\x31\\x31\\x35\\x2c\\x36\\x39\\x2c\\x31\\x31\\x34\\x2c\\x31\\x31\\x36\\x2c\\x31\\x30\\x37\\x2c\\x34\\x39\\x2c\\x35\\x30'
print(str1)

直接打印之后,得到一串数字,然后再在转换为字符串(flag):

list1=[55,56,54,79,115,69,114,116,107,49,50]
flag=''
for i in list1:
    flag+=chr(i)
print(flag)
  • simple php

得到的就是php源码:

<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
    echo $flag1;
}
if(is_numeric($b)){
    exit();
}
if($b>1234){
    echo $flag2;
}
?>

分别对a,b进行判断,a满足值等于0,又不能为0;b满足值大于1234但不能是数字。

这里用到的是php弱类型,构造:

?a=0+''&&b=1234a

其中,a的值只要是0+任意字串即可,b只需要在任意大于1234的数值后加任意字符即可:

flag到手。

web新手练习(未涉及burpsuite使用)
qdlws的博客
02-03 256
攻防世界web新手练习
WEB新手带图详解
qu_xiao_lei的博客
10-13 804
所用插件:X-Forwarded-For Header、HackBar、FoxyProxy。 一,xff_referer 伪造IP与Referer 1. 2.使用X-Forwarded-For Header伪造123.123.123.123 3.使用HackBar打勾Referer伪造 二,backup 查看备份文件 网页备份文件的后缀为.bak 1. 2.请求index.php.bak 3.查看index.php的备份文件 三,command_execution 查找flag 2.ping127
攻防世界——Web新手练习
weixin_65049289的博客
12-18 1345
攻防世界——Web新手练习
web新手
lwbcsd的博客
11-26 133
攻防世界 第一题 知识:F12:开发者工具和另存为. 第二题 科普:robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的r
[攻防世界]WEB练习
qq_61109509的博客
10-25 319
1,Robots协议:网站使用者用/robots.txt向网络机器人提供关于网站的说明
adworld.xctf-web-新手练习刷题
BROTHERYY的博客
05-07 1179
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
攻防世界-- web新手练习-- writeup汇总
yisosooo的博客
09-22 2591
一篇帖子包含所有题目。 第一题-- view_source 题目提示:鼠标右键好像不管用了。鼠标右键的主要功能之一是选取网易源代码选项,所以可以F12来查看源代码。即可得到flag。 第二题-- get_post 题目提示:HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST. 第一步:请用GET方式提交一个名为a,值为1的变量,构造URL:http://111....
ctf web5 练习_CTF-攻防世界-WEB新手练习 Writeup(12题入门题)
weixin_33603656的博客
01-15 3828
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
2021-06-24CTF-攻防世界-WEB新手练习(12题入门题)
u258710的博客
06-24 2840
CTF-攻防世界-WEB新手练习(12题入门题)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目提示查看网页源代码,但鼠标右键不管用
Complete-Web-Development-Bootcamp:在这里,我上传了我在整个Web开发过程中所学的所有知识
04-02
【描述】中的"完整的网络开发新手训练营"暗示这是一套适合初学者的教程,它提供了从零开始学习Web开发的全面路径。"我上传了在整个Web开发过程中所学到的所有东西"表明内容不仅包括理论知识,还可能包括实践经验、...
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
python小记--攻防世界simple_js解题脚本编写
tzyyyyyy的博客
11-07 875
python小记--攻防世界simple_js解题脚本编写
xctf攻防世界Web新手练习 writeup
Senimo
08-08 5679
xctf攻防世界Web新手练习 writeupview_sourceget_postrobotsbackupcookiedisabled_buttonsimple_jsxff_refererweak_authwebshellcommand_executionsimple_php view_source 难度系数: 1.0 题目来源: Cyberpeace-n3k0 题目描述:X老师让小宁同学查...
攻防世界 web simple_php
Kni9hT's Blog
02-29 810
XX:php是世界上最好的语言! 我:看不懂啊… (纯属娱乐,Java党勿喷) 题解部分 php代码: <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numeric($b)){ ...
攻防世界新手练习12道题详解(6-12)
hx7hx7的博客
10-09 848
攻防世界新手练习12道题详解(6-12)
攻防世界 WEB 新手练习 writeup 007-012
ChaoYue_miku的博客
09-02 1440
007 simple_php 难度系数:1.0 题目来源: Cyberpeace-n3k0 题目描述: 小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 0x01 打开网页 有一段PHP源代码 0x02 进行代码审计 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numer
寒假WEB训练-1
DUOan0216的博客
04-06 587
因为自己寒假的时候搞了个博客 就很少在这更新了。 就把寒假的一部分放在这纪念纪念吧 本次练习的是i春秋的题目 爆破 本次的php代码为 <?php include "flag.php"; $a =@$_REQUEST['hello']; if(!preg_match('/^\w*$/'.$a)){ die('ERROR'); } eval("var_dump($$a);"); sho...
PHP命令执行集锦
蚁景网安学院
03-21 2520
代码审计总要遇到命令执行或者说RCE,打CTF的过程中难免不会碰见,毕竟PHP是世界上最好的语言,总结一下...
Web开发新手入门仓库first-steps
"first-steps"通常意味着基础、起步,因此这个仓库可能包含一系列基础的教程、代码示例和资源,帮助新手了解Web开发的基本概念和工具。 2. **项目的学习路径**:该仓库可能是结构化的,按照一定的学习路径来安排...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值