讲道理这题算是我的思路盲区,先试着ping下本地的地址,127.0.0.1 看了大佬的wp时,我突然意识到,这是放在服务器上执行的,而且服务器一般都是linux系统的,所以linux命令是必需的, 思路分析:猜测上是服务器上那位同学写了一个可以执行ping命令的程序,但是没加限制,这里有可能会出现命令拼接. 命令拼接: | 将上一句的命令作为输入,执行下一句的命令 && 第一句执行成功,才执行下一句 find命令 find 目录 -name "." //查找文件名为..…

ToC = { '1. Collections': [List, Dict, Set, Range, Enumerate, Namedtuple, Iterator, Generator], '2. Types':      [Type, String, Regex, Format, Numbers, Combinatorics, Datetimeᴺᴱᵂ], '3. Syntax':     [Arguments, Splat, Inline, Closure, Decorator, Class…

题目:view_source 在url的前面加上个 “view-source: ”就看到flag了,或者“CTRL+U”快捷键查看源码 flag:cyberpeace{e07dcafaeeb31df23b4d661dd4da56f9} 题目:get_post 这道题我使用的方法是:chrome的插件postman 选择方式为POST,URL内容为:http://111.198.29.45:33495/?a=1,post data内容为:b=2,然后点击send即可看到flag了,具体操作如下图所…

平台地址:adworld.xctf.org.cn 在打着暑假工赚零花钱之余,我将这些题利用空余时间刷了一遍,感觉内心还是比较满足的! 题目:view_source 这道题没啥好说的,在url的前面加上个 “view-source: ”就看到flag了 flag:cyberpeace{e07dcafaeeb31df23b4d661dd4da56f9} 题目:get_post 这道题我使用的方法是:旧版本火狐+旧版本的hackbar(新版本的hackbar要license) hackbar勾选Pos…

0x01 view_source 0x02 get_post 这道题就是最基础的get和post请求的发送 flag:cyberpeace{b1e763710ff23f2acf16c2358d3132d3} 0x03 rebots Rebots.txt 是用来声明该网站中不想被爬虫访问的部分,这道题直接访问rebots.txt文件 接着访问 f1ag_1s_h3re.php 页面即可得到flag flag cyberpeace{306fadfe172cc2b119b280d295ff0a1f}…

XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 robots4 0x04 backup6 0x05 Cookie7 0x06 disabled button8 0x07 simple js9 0x08 XFF Referer10 0x09 weak auth(弱口令密码)12 0x10 web shell15 0x11 command_executio…

1.view_source 既然让看源码,那就F12直接就能看到. 2.robots 先百度去简单了解一下robots协议 robots协议(robots.txt),robots.txt文件在网站根目录下.robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当spider(网络蜘蛛)访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围:如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页…

xff_referer:http://111.198.29.45:43071 打开网址,显示出这个页面: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的 1.打开firefox和burp,使用burp对firefox进行代理拦截,在请求头添加X-…

攻防世界web新手区 第一题view_source 第二题get_post 第三题robots 第四题Backup 第五题cookie 第六题disabled_button 第七题simple_js 第八题xff_referer 第九题weak_auth 第十题webshell 第十一题command_execution 第十二题simple_php 第一题view_source f12查看源码 第二题get_post 1按照提示先get一个a=1,在post一个b=2,就行 第三题robots…

攻防世界入门的题目 view source 禁用右键,F12审查元素 get post hackbar进行post robots 直接访问robots.txt,发现f1ag_1s_h3re.ph文件,直接访问 backup 备份文件一般是在后缀名后加.swp,.bak 本题尝试index.php.bak成功获取源码 cookie burp抓包,发现提示,查看cookie.php,在响应头发现flag 火狐,F12,网络,cookie可以看到提示,访问之后再看响应头即可 disabled_butt…