攻防世界web新手区部分题解

news2024/11/17 10:30:25

前言:博主是个安全小白,正在努力学习中,会随着学习进度不定期更新完善本篇博客。

这里是目录

  • 1.robots
  • 2.view_source
  • 3.backup
  • 4.disabled_button
  • 5.get_post
  • 6.cookie
  • 7.ics-06
  • 8.PHP2

1.robots

题目描述: X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

  1. 顾题思义,打开百度搜索什么是Robots协议
    robots协议也称爬虫协议、爬虫规则等,是指网站可建立一个robots.txt文件来告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,而搜索引擎则通过读取robots.txt文件来识别这个页面是否允许被抓取。但是,这个robots协议不是防火墙,也没有强制执行力,搜索引擎完全可以忽视robots.txt文件去抓取网页的快照。 [5] 如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.txt,或者使用robots元数据(Metadata,又称元数据)。

  2. 在url末尾添加robots.txt后访问进入以下界面:
    这里是引用

  3. 提示不允许访问f1ag_1s_h3re.php,那我们偏要访问f1ag_1s_h3re.php,得到flag
    在这里插入图片描述

2.view_source

题目描述:
X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

  1. 顾题思义,需要查看网页源代码,但是进入场景后发现鼠标右键无效,可以在url前添加view-source:,得到flag (方法有多种)

在这里插入图片描述

3.backup

题目描述:
X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!

  1. 进入场景,提示你知道index.php的备份文件名吗?那么就找它的备份文件,在url后加上index.php.bak
    在这里插入图片描述
  2. 访问下载备份文件,打开文件后发现flag
    在这里插入图片描述

4.disabled_button

题目描述:
X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

思考:打开场景,跟题目说的一样,有个不能按的flag按钮,那么是不是让它变成能按的就能得到flag?

  1. 按F12进入开发者模式,找到flag对应的代码,右键选择Edit as HTML编辑代码。
    在这里插入图片描述> 2.将disabled改成open
    在这里插入图片描述
    3.此时发现flag按钮可以点击,点击后得到flag
    在这里插入图片描述

5.get_post

题目描述:
X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

如题,HTTP通常使用的两种请求方式是getpost.

  1. 进入场景显示如下:
    在这里插入图片描述
    2.按照要求以get方式提交a=1,get的请求方式是在url后加?+内容,以本题为例:http://61.147.171.105:59858/?a=1,访问后页面变化如下:
    在这里插入图片描述
    3…按照要求用post方式提交b=2,这里用到hackbar插件(推荐使用火狐浏览器),打开火狐浏览器,F12选择hackbar插件,进行如下操作:
    在这里插入图片描述
    得到flag在这里插入图片描述

6.cookie

题目描述:
X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?

  1. 百度一下,cookie是什么,了解cookie的概念(节选部分,可自行百度)
    Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。
  2. 进入场景,F12进入开发者模式,在network里查看cookie:
    在这里插入图片描述
  3. 按照提示访问cookie.php,在url后添加cookie.php,跳转到以下界面,按照提示找到flag
    在这里插入图片描述

7.ics-06

题目描述:
云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。

  1. 进入场景,按照提示,到处点点,发现点击报表中心页面跳转:
    在这里插入图片描述
    2.(本人像个呆瓜似的在原页面到处找时间,试了好久发现都没有反应,后来看的大佬博客)使用BP抓包后进行爆破
    在这里插入图片描述3.不知道是不是社区版的原因,电脑放置了将近一天也没成功,这里按照大佬博客的答案投机取巧了。
    在这里插入图片描述
    4.发现2333的Length与其它的不同,返回原界面,将url中的1改成2333,访问得到flag在这里插入图片描述

8.PHP2

题目描述:暂无。

  1. 根据题目提示,查看php源文件,在url末尾添加index.phps(phps即php source)。访问跳转到以下界面:
    在这里插入图片描述

  2. 这是一段php代码,根据代码来进行判断
    首先看第一个if,要使"admin"===$_GET[id] 不成立,可对admin进行url编码来达到目的。可以对admin进行url编码,也可以单对a进行url编码。
    其次看第二个if,要使$_GET[id] == "admin",即id经过urlcode解码后为admin
    需要注意的是,经行id传入时,浏览器会对非ASCII码值的字符经行一次urlcode解码,也就是说我们需要编码两次。编码解码网站链接
    对a编码——>%61
    对%61编码——>%2561

  3. 回到原网站(不是phps网站),在url中添加id=%2561dmin 在这里插入图片描述

  4. 得到flag在这里插入图片描述

文末bb:第一次做这些web题当真让人无从下手,像个呆瓜一样。需要时间题量去沉淀自己,在日子中慢慢提高。
对哪里有问题的朋友,可以在评论区留言,若哪里写的有问题,也欢迎朋友们在评论区指出,博主看到后会第一时间确定修改。最后,制作不易,如果对朋友们有帮助的话,希望能给点点赞和关注.
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/545725.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SpringBoot+Redis完成数据缓存(内容丰富度一定超出你的想象)

SpringBootRedis完成数据缓存 去年今日此门中 人面桃花相映红 人面不知何处去 桃花依旧笑春风 感谢相遇!感谢自己,努力的样子很给力! 为了更多朋友看见,还是和大家说一声抱歉,限制为粉丝可见!有问题可以随时…

基于SSM+JSP的大学生社团管理系统

末尾获取源码 开发语言:Java Java开发工具:JDK1.8 后端框架:SSM 前端:采用JSP技术开发 数据库:MySQL5.7和Navicat管理工具结合 服务器:Tomcat8.5 开发软件:IDEA / Eclipse 是否Maven项目&#x…

数字信号处理基础(二):FFT和IFFT的使用以及详细分析代码书写思路

目录 1. fft和ifft的原理1.1 fft1.2 ifft 2. 书写代码思路3. 完整代码4. 结果图 1. fft和ifft的原理 1.1 fft fft是快速傅里叶变换,是MATLAB中计算信号频谱的函数,使用方法是fft(x),直接对信号x进行fft计算。 由于fft函数计算信号的频谱是0…

国考省考行测:资料分析,两年复合增长率

国考省考行测:资料分析,两年复合增长率 2022找工作是学历、能力和运气的超强结合体! 公务员特招重点就是专业技能,附带行测和申论,而常规国考省考最重要的还是申论和行测,所以大家认真准备吧,我讲一起屡屡…

考研算法第十三天:二叉排序树 【二叉排序树的插入和遍历】

这道题很妙。题目给的二叉排序树好像没学过其实就是二叉查找树。然后这道题主要的就是思路 1.节点的初始化(记住) struct TreeNode {int val;TreeNode *left;TreeNode *right;TreeNode(int x) : val(x), left(NULL), right(NULL) {} }; 2.节点的插入 …

HTTPS 的加密流程

文章目录 前言一.HTTPS 是什么二."加密" 是什么四.HTTPS解决了哪些问题五.HTTPS 的工作过程对称加密非对称加密引入证书 前言 本文介绍了HTTPS的加密流程,以及HTTPS在保护用户数据安全和确保通信机密性方面的重要性。通过详细解释HTTPS的工作原理和加密流…

网络安全里的主要岗位有哪些?小白如何快速入门?

入门Web安全、安卓安全、二进制安全、工控安全还是智能硬件安全等等,每个不同的领域要掌握的技能也不同。 当然入门Web安全相对难度较低,也是很多人的首选。主要还是看自己的兴趣方向吧。 本文就以下几个问题来说明网络安全大致学习过程👇 网…

ChatGPT:世界已经永远改变了,而大多数人尚无所觉

1、你发现没有,现在跟朋友交流,言必聊ChatGPT。几乎所有人都在蹭GPT的热度,无论是头部企业还是普通的个人开发者,都想趁着ChatGPT东风狂赚一笔。有卖ChatGPT账号的、有借用ChatGPT的API集成服务让人付费试用的,还有人利…

Android第一代加壳技术的验证、测试和探究

Android第一代加壳测试,网上有很多文章,本文只是在前人基础上测试和验证。因此,本文的重点在于动手和实践。 第一代加壳技术有三个项目,分别是: 加壳程序。主要是把需要加壳的原程序加密后,放在壳程序中&…

全能超高清解码播放器_完美解码

哈喽,大家好。今天给各位小伙伴们测试了一款全能超高清解码播放器——完美解码。 这是一款为众多影视发烧友精心打造的专业高清播放器。超强HDTV支持,画质远超主流播放器!全面开启硬件加速,CPU资源占用低,强劲高清解码…

Matplotlib绘制漂亮的饼状图|python绘制漂亮的饼状图

python绘图系列文章目录 往期python绘图合集: python绘制简单的折线图 python读取excel中数据并绘制多子图多组图在一张画布上 python绘制带误差棒的柱状图 python绘制多子图并单独显示 python读取excel数据并绘制多y轴图像 python绘制柱状图并美化|不同颜色填充柱子 python随机…

LeetCode刷题 --- 栈

栈(stack)是一种用于存储数据的简单数据结构。栈一个有序线性表,只能在表的一端(PS:栈顶)执行插人和删除操作。最后插人的元素将被第一个删除。所以,栈也称为后进先出(Last In First…

AI在狂飙,ChatGPT-4可直接在iPhone上使用啦

今天凌晨,OpenAI 正式在 App Store 推出了 ChatGPT 的 iOS app,瞬间冲上苹果商店免费榜第二名,效率榜第一名。 于是兴致勃勃的去下载体验了一番。整体不错,以后手机使用官方的 ChatGPT 更方便啦!而且使用 GPT4 不再麻…

JavaScript事件流

一、事件流和它的两个阶段 1.事件流:是事件完整执行过程中的流动路径 2.说明:假设页面里有个div,当触发事件时,会经历两个阶段,分别是捕获阶段、冒泡阶段 (1)捕获:从父到子 &#…

测试工程师都是怎么写测试用例的?​

很多人不知道写测试用例有什么用,而仅仅是像工具人一样,在每次提测之前,把测试用例照着需求文档抄一遍,仿佛像是走个过场。 开发提测之后,就照着测试用例点点点,可能一天就走完用例了,开发代码…

最优化理论-线性规划中的大M法的步骤

目录: 一、引言 二、线性规划的基本概念 三、最优化理论中的大M法 1. 大M法的基本思想 2. 大M法的步骤 3. 大M法的优缺点 四、大M法的应用 1. 生产计划问题 2. 运输问题 3. 投资问题 五、总结 一、引言 最优化理论是数学中的一个重要分支…

【2023/05/19】NFA

Hello!大家好,我是霜淮子,2023倒计时第14天。 非确定有限状态自动机(NFA)是一种模拟复杂系统行为的数学模型 目录 一、基本概念和理论 二、优点和缺点 三、应用场景 四、问题和挑战 五、重要性、作用和使用价值 …

学习HCIP的day.07

目录 7、SPF算法 --- OSPF防环机制 OSPF区域间防环 OSPF域外防环 基于以上长篇理论总结: 7、SPF算法 --- OSPF防环机制 (1)在同一个区域每台路由具有一致的LSDB (2)每台路由器以自己为根计算到达每个目标的最短路…

Java泛型,数组和方法返回类型 - 协变,逆变和不变

首先,让我们通常理解一下子类型规则是什么。 协变vs逆变vs双变vs不变 编程语言可能有支持以下子类型规则的特性: 协变 允许用超类型替换子类型。 逆变 允许用子类型替换超类型。 双变 同时是协变和逆变。 不变 不允许上述任何替换。 让我们看看Java支持哪…