攻防世界——web新手练习区解题记录<1>(1-4题)
web新手练习区一至四题
第一题view_source:
题目说右键不管用了,我们先获取在线场景来看一看,我们看到这样一个网页,并且右键确实点了没什么反应,而用到右键一般就是查看网页源码
用快捷键(F12或是Ctrl+shift+i)打开网页源码即可找到flag
flag即为: cyberpeace{c602a5e3d03c281beac2a5b0b3610ae6}
第二题get_post:
需要用到工具:hackbar
http通常使用两种请求方法是get和post也就是题目的名称所提示的一样(由于自身也是新手我就不说get和post的区别了,各位大佬可以去百度一下),我们先获取一下在线场景,得到如下网页
根据提示我们用get的方式提交a=1,
并得到如下网页
然后我们再用浏览器上的工具(我用的是火狐浏览器)HackBar(需要自己下载)用post的方式提交b=2
提交的详细过程:
1.点开工具
点击load或是run
之后在下面的框内输入b=2,点击run便能得到flag(关于hackbar我也只是会最基础的使用方法,如果有不合理的地方,欢迎各位大佬多多指出)
flag为:cyberpeace{fd7dabdeb5a92b568a47104edc0aeec8}
第三题robots:
先获取在线场景,我们可以得到如下网页
没错就是一片空白,题目中提到了robots协议,或许这就是解题的方法,那么啥是robots协议呢(我也不知道(狗头保命))
关于robots协议(图片截取自百度百科)
也就是说一个网站的robots协议可以告诉我们,我们可以获取这个网站的哪些信息,百科中提到了robots.txt,这里我们就查看一下robots.txt,只需在网址后面加上
/robots.txt
便可以查看了,如下图
disallow就是可以抓取的内容
我们得到了一个php文件名称,再重复一遍上述操作,在网址后加上
f1ag_1s_h3re.php 如下图
于是我们便得到了flag
flag为:cyberpeace{37970c1050fa64843400838294022f3c} 第四题backup:
获取在线场景后,如下图:
结合题干和提示我们知道我们需要找到index.php的备份文件,怎么找呢?百度了一下才知道index.php的备份文件名的后缀一般有*.php~和*.php.bak两种
利用第三题学到的方法,
我们一一试验之后发现*php.bak会弹出下载文件的一个窗口
下载以后我们再这个备份文件中就可以找到flag了
flag为:Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}
未完待续……
ps:本人新手一枚,写的题解呢也是以新人的口吻写的所以有许多地方不够专业,也可能还有许多错误,也请各位大佬多多包容,也欢迎各位大佬的指导。
攻防世界——web新手练习区解题记录<1>(1-4题)的更多相关文章
- 攻防世界——web新手练习区解题总结<3>(9-12题)
第九题simple_php: 看题目说是php代码,那必定要用到php的知识,让我们先获取在线场景,得到如下网页 仔细看这个代码,意思大概是: 1.当a==0且a为真时输出flag1 2.当b为数字退 ...
- 攻防世界——web新手练习区解题总结<2>(5-8题)
第五题cookie: 所需工具:burpsuite(需自行下载) 老规矩看完题,先获取在线场景,得到如下网页 那么什么是cookie呢?大体上就是网站为了识别用户身份而储存在用户本地终端上的数据,类型 ...
- 攻防世界——Misc新手练习区解题总结<3>(9-10题)
第九题SimpleRAR: 下载附件后得到一个压缩包打开后得到如下提示 文件头损坏,让我们打开winhex看一下 7a为子块而文件头为74,这里将7a改为74(这里我也不是很清楚,详细大家可以自行去查 ...
- 攻防世界——Misc新手练习区解题总结<2>(5-8题)
第五题gif: 下载附件后,解压得到这样一个文件 几经寻找无果后,发现是不是可以将gif中的黑白图片看做二进制的数字,进而进行解密 最后用二进制转文本得到flag 第六题掀桌子: 看起来是16进制的密 ...
- 攻防世界——Misc新手练习区解题总结<1>(1-4题)
第一题this_if_flag: 第一题就不多说了,题目上就给出了flag复制粘贴就可以了 第二题pdf: 下载附件后,得到如下界面 Ctrl+a全选文字,复制出来看看是什么,粘贴后恰好得到flag ...
- 攻防世界--web新手练习区(1)
1. 题目描述:X老师想让小明同学查看一个网页的源代码,但小明却发现鼠标右键不管用了. http://111.198.29.45:53629 通过阅读题目描述分析,我们需要查看源码,但是鼠标右键 ...
- 攻防世界Web新手练习区(1-6)
第一题 view_source 获取在线场景查看网页 打开页面之后首先考虑查看源代码,发现不能右击 根据题目的提示考虑使用view-source查看源代码,发现flag 第二题 get_post 获取 ...
- 攻防世界web新手练习区(2)
弱认证:http://111.198.29.45:43769/ 打开是这个页面: 用户名输入1,密码输入2,试试看.会提示你用户名为admin.接下来用burp对密码进行爆破,发现弱口令0123456 ...
- 攻防世界web新手区
攻防世界web新手区 第一题view_source 第二题get_post 第三题robots 第四题Backup 第五题cookie 第六题disabled_button 第七题simple_js ...
随机推荐
- MyBatis-Plus使用(2)-CRUD接口
参考文档:https://mybatis.plus/guide/crud-interface.html MyBatis-Plus自带的CRUD方法分为Mapper层和Service层,大多数功能是重叠 ...
- Spring 自动装配机制
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w ...
- ArrayList源码解析,老哥,来一起复习一哈?
前言 JDK源码解析系列文章,都是基于JDK8分析的,虽然JDK14已经出来,但是JDK8我还不会,我... 类图 实现了RandomAccess接口,可以随机访问 实现了Cloneable接口,可以 ...
- Apache Hudi + AWS S3 + Athena实战
Apache Hudi在阿里巴巴集团.EMIS Health,LinkNovate,Tathastu.AI,腾讯,Uber内使用,并且由Amazon AWS EMR和Google云平台支持,最近Ama ...
- Android Studio--家庭记账本(一)
今天通过观看视频,根据老师所讲内容,编译代码.实现了Android Studio记账本里面的增加功能 源代码如下: CostBean.java: package com.example.family; ...
- 前端面试 vue 部分 (5)——VUE组件之间通信的方式有哪些
VUE组件之间通信的方式有哪些(SSS) 常见使用场景可以分为三类: 父子通信: null 父向子传递数据是通过 props ,子向父是通过 $emit / $on $emit / $bus Vuex ...
- JS中splice方法的使用
在js中,arr.splice(str)方法是处理数组的利器,利用它可以实现在指定位置删除.替换.插入指定数量的元素. 其语法为: arr.splice(index[, deleteCount, e ...
- DB2 分组查询语句ROW_NUMBER() OVER() (转载)
说起 DB2 在线分析处理,可以用很好很强大来形容.这项功能特别适用于各种统计查询,这些查询用通常的SQL很难实现,或者根本就无发实现.首先,我们从一个简单的例子开始,来一步一步揭开它神秘的面纱,请看 ...
- Webpack 定义process.env的时机
定义 process.env的时机 如果已经提取了公共配置文件 webpack.common.js 分别定义了开发配置webpack.dev.js和生产配置webpack.prod.js 在webpa ...
- 为什么你的 64-bit 程序可能占用巨大的虚拟空间
出于很多目的,我从最新的 Go 系统内核开发源码复制了一份代码,在一个正常的运行环境中构建(和重新构建)它,在构建版本基础上周期性地重新构建 Go 程序.近期我在用 ps 查看我的一个程序的内存使用情 ...