攻防世界--web新手练习区（1）

  1. 题目描述：X老师想让小明同学查看一个网页的源代码，但小明却发现鼠标右键不管用了。

 http://111.198.29.45:53629

• 通过阅读题目描述分析，我们需要查看源码，但是鼠标右键不能用了，可知一定是通过js禁用了鼠标事件，这个时候有三个方向：
• 键盘F12可以查看源码；
1. 禁用浏览器的js
1. 在目标地址前面输入 ‘view-source:’查看

操作步骤

1. 键盘F12
1. 敲一下键盘上的F12，出现开发者工具；
1. 点击查看器，可以看到整个DOM结构。
1. 下方有个被注释的一串字符串，找到flag

1. 禁用浏览器的js(这里以火狐浏览器为例)
• 1.在地址栏中输入 ‘about:config’
1. 在搜索框中输入 'javascript.enabled',将其设置为false
1. 返回题目，右键查看源代码

1. 在目标地址前面输入 ‘view-source’ 即可查看源代码，与上方右键查看代码效果一样

 

 

原理：about:config 命令是火狐浏览器等Mozilla系列浏览器的高级设置的打开命令， 设置火狐浏览器只要在火狐的新标签的地址栏输入：about:config 回车即可。

 

 

2 题目描述：X老师告诉小宁同学HTTP通常使用两种请求方法，你知道是哪两种吗

 http://111.198.29.45:49035

get_post 题目描述：X 老师告诉小宁同学 HTTP 通常使用两种请求方法，你知道是哪两种 吗？ 知识补充：  两种 HTTP 请求方法：GET 和 POST 在客户机和服务器之间进行请求-响应时，两种最常被用到的方法是：GET 和 POST。 { GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据 } https://www.w3school.com.cn/tags/html_ref_httpmethods.asp https://baijiahao.baidu.com/s?id=1620934682611653374&wfr=spider&for=p c 实际操作：打开网址，得到如下要求 <�用 GET 给后端传参的方法是：在?后跟变量名字，不同的变量之间用&隔开> 在 url 后添加/？a=1 即可发送 get 请求。 利用 hackbar 进行 POST 传参：复制 get 的 url，选择 postdata，填入 b=2，选择 execute。即 可发送 POST 请求。  关于 GET 和 POST：https://www.cnblogs.com/williamjie/p/9099940.html

3. 题目描述：X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。

 http://111.198.29.45:52182

 

 

原理：怎么查看robots协议？可以使用这种办法，主域名/robots.txt。

https://blog.csdn.net/seoyyedu/article/details/78673241

4. 题目描述：X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！

 http://111.198.29.45:49842

WP：

backup

[目标]

掌握有关备份文件的知识

常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history

[环境]

无

[工具]

扫目录脚本dirsearch(项目地址：https://github.com/maurosoria/dirsearch(https://github.com/maurosoria/dirsearch))

[步骤]

1.可以手动猜测,也可以使用扫目录脚本/软件,扫一下,这里使用的是github上的脚本dirsearch,命令行下: py python3 dirsearch.py -u http://10.10.10.175:32770 -e *

2.看到存在备份文件index.php.bak访问 http://10.10.10.175:32770/index.php.bak

3.保存到本地打开，即可看到flag

 

   

知识点

.php.bak

是在编辑这个文件时，自动生成的备份文件。

如果编辑后没有什么问题，可以删除.BAK文件。

5. 题目描述：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？’

 http://111.198.29.45:53260

 

[原理]

Cookie是当主机访问Web服务器时，由 Web 服务器创建的，将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies，指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据，而这些数据通常会经过加密处理。

[目的]

掌握有关cookie的知识，了解cookie所在位置

[环境]

windows

[工具]

firefox

[步骤]

1.浏览器按下F12键打开开发者工具，刷新后，在存储一栏，可看到名为look-here的cookie的值为cookie.php

2.访问http://111.198.29.45:47911/cookie.php，提示查看http响应包，在网络一栏，可看到访问cookie.php的数据包

3.点击查看数据包，在消息头内可发现flag