1.view_source 既然让看源码,那就F12直接就能看到. 2.robots 先百度去简单了解一下robots协议 robots协议(robots.txt),robots.txt文件在网站根目录下.robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当spider(网络蜘蛛)访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围:如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页…

学校信安协会第一次培训结束后的作业,要求把攻防世界的web新手区题目做一遍并写题解. 第一题 view_source 查看源代码右键不能用,但是F12能用,于是找到源代码 输入到flag框即可 后来在网上看到可以在url前面插入view-source:来查看网页源代码 第二题 get_post 题目描述点明了该题要用到关于http的两种请求方式,那么就要学习一下http的几种请求方式. 查阅各种博客之后,发现get的请求方式直接在url框内输入就好,而post的请求方式需要用其他方式写入参数,有…

1.Training-WWW-Robots 题目提示了robots协议,直接访问robots.txt 继续访问fl0g.php 2.baby_web 题目描述:想想初始页面是哪个 百度搜了下,index.php是php首页文件 访问index.php,又跳转到1.php 用burpsuite抓包(抓index.php的包)…

web新手练习区一至四题 第一题view_source: 题目说右键不管用了,我们先获取在线场景来看一看,我们看到这样一个网页,并且右键确实点了没什么反应,而用到右键一般就是查看网页源码 用快捷键(F12或是Ctrl+shift+i)打开网页源码即可找到flag flag即为: cyberpeace{c602a5e3d03c281beac2a5b0b3610ae6} 第二题get_post: 需要用到工具:hackbar http通常使用两种请求方法是get和post也就是题目的名称所提示的一样…

攻防世界web新手区 第一题view_source 第二题get_post 第三题robots 第四题Backup 第五题cookie 第六题disabled_button 第七题simple_js 第八题xff_referer 第九题weak_auth 第十题webshell 第十一题command_execution 第十二题simple_php 第一题view_source f12查看源码 第二题get_post 1按照提示先get一个a=1,在post一个b=2,就行 第三题robots…

攻防世界入门的题目 view source 禁用右键,F12审查元素 get post hackbar进行post robots 直接访问robots.txt,发现f1ag_1s_h3re.ph文件,直接访问 backup 备份文件一般是在后缀名后加.swp,.bak 本题尝试index.php.bak成功获取源码 cookie burp抓包,发现提示,查看cookie.php,在响应头发现flag 火狐,F12,网络,cookie可以看到提示,访问之后再看响应头即可 disabled_butt…

第九题simple_php: 看题目说是php代码,那必定要用到php的知识,让我们先获取在线场景,得到如下网页 仔细看这个代码,意思大概是: 1.当a==0且a为真时输出flag1 2.当b为数字退出 3.当b>1234时输出flag2 这就需要利用到php弱类型的知识了(这里大约说一下,可以上网进一步了解) 当数字类型与字符串类型比较时,如果字符串开始部分有数字时会将数字部分转化为数字类型来和数字比较,如果字符串开始部分不存在数字会将字符串转化为0来和数字比较.(适用于<,>,==,…

第五题cookie: 所需工具:burpsuite(需自行下载) 老规矩看完题,先获取在线场景,得到如下网页 那么什么是cookie呢?大体上就是网站为了识别用户身份而储存在用户本地终端上的数据,类型为小型文本文件,我们平时在网站上储存的账号密码就是用的cookie来储存的.换句话说我们如果知道了用户的cookie也就获取了其中所保存的用户数据.(新手的理解) 那么怎么获取cookie呢?就要用到我们的工具burpsuite进行抓包了,具体用法我就不多赘述了直接开搞 我用的是火狐浏览器,开始之前…

本来一题一篇文章,结果发现太浪费了,所以整合起来了,这篇博文就记录 BUUCTF 的  web 题目的题解吧! 随便注 随便输入一个单引号,报错 order by 3就不行了 尝试联合查询的时候出现提示: "/select|update|delete|drop|insert|where|\./i" 一个正则可视化网站:https://regexper.com 使用堆叠注入:1';show tables;# 看一下表里有什么列名:1';show columns from `1919810…

0x01 view_source 0x02 get_post 这道题就是最基础的get和post请求的发送 flag:cyberpeace{b1e763710ff23f2acf16c2358d3132d3} 0x03 rebots Rebots.txt 是用来声明该网站中不想被爬虫访问的部分,这道题直接访问rebots.txt文件 接着访问 f1ag_1s_h3re.php 页面即可得到flag flag cyberpeace{306fadfe172cc2b119b280d295ff0a1f}…