您现在的位置是:首页 >其他 >攻防世界web新手区部分题解网站首页其他

攻防世界web新手区部分题解

溪读卖 2024-06-17 11:27:14
简介攻防世界web新手区部分题解

前言:博主是个安全小白,正在努力学习中,会随着学习进度不定期更新完善本篇博客。

1.robots

题目描述: X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

  1. 顾题思义,打开百度搜索什么是Robots协议
    robots协议也称爬虫协议、爬虫规则等,是指网站可建立一个robots.txt文件来告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,而搜索引擎则通过读取robots.txt文件来识别这个页面是否允许被抓取。但是,这个robots协议不是防火墙,也没有强制执行力,搜索引擎完全可以忽视robots.txt文件去抓取网页的快照。 [5] 如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.txt,或者使用robots元数据(Metadata,又称元数据)。

  2. 在url末尾添加robots.txt后访问进入以下界面:
    这里是引用

  3. 提示不允许访问f1ag_1s_h3re.php,那我们偏要访问f1ag_1s_h3re.php,得到flag
    在这里插入图片描述

2.view_source

题目描述:
X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

  1. 顾题思义,需要查看网页源代码,但是进入场景后发现鼠标右键无效,可以在url前添加view-source:,得到flag (方法有多种)

在这里插入图片描述

3.backup

题目描述:
X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!

  1. 进入场景,提示你知道index.php的备份文件名吗?那么就找它的备份文件,在url后加上index.php.bak
    在这里插入图片描述
  2. 访问下载备份文件,打开文件后发现flag
    在这里插入图片描述

4.disabled_button

题目描述:
X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

思考:打开场景,跟题目说的一样,有个不能按的flag按钮,那么是不是让它变成能按的就能得到flag?

  1. 按F12进入开发者模式,找到flag对应的代码,右键选择Edit as HTML编辑代码。
    在这里插入图片描述> 2.将disabled改成open
    在这里插入图片描述
    3.此时发现flag按钮可以点击,点击后得到flag
    在这里插入图片描述

5.get_post

题目描述:
X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

如题,HTTP通常使用的两种请求方式是getpost.

  1. 进入场景显示如下:
    在这里插入图片描述
    2.按照要求以get方式提交a=1,get的请求方式是在url后加?+内容,以本题为例:http://61.147.171.105:59858/?a=1,访问后页面变化如下:
    在这里插入图片描述
    3…按照要求用post方式提交b=2,这里用到hackbar插件(推荐使用火狐浏览器),打开火狐浏览器,F12选择hackbar插件,进行如下操作:
    在这里插入图片描述
    得到flag在这里插入图片描述

6.cookie

题目描述:
X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?

  1. 百度一下,cookie是什么,了解cookie的概念(节选部分,可自行百度)
    Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。
  2. 进入场景,F12进入开发者模式,在network里查看cookie:
    在这里插入图片描述
  3. 按照提示访问cookie.php,在url后添加cookie.php,跳转到以下界面,按照提示找到flag
    在这里插入图片描述

7.ics-06

题目描述:
云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。

  1. 进入场景,按照提示,到处点点,发现点击报表中心页面跳转:
    在这里插入图片描述
    2.(本人像个呆瓜似的在原页面到处找时间,试了好久发现都没有反应,后来看的大佬博客)使用BP抓包后进行爆破
    在这里插入图片描述3.不知道是不是社区版的原因,电脑放置了将近一天也没成功,这里按照大佬博客的答案投机取巧了。
    在这里插入图片描述
    4.发现2333的Length与其它的不同,返回原界面,将url中的1改成2333,访问得到flag在这里插入图片描述

8.PHP2

题目描述:暂无。

  1. 根据题目提示,查看php源文件,在url末尾添加index.phps(phps即php source)。访问跳转到以下界面:
    在这里插入图片描述

  2. 这是一段php代码,根据代码来进行判断
    首先看第一个if,要使"admin"===$_GET[id] 不成立,可对admin进行url编码来达到目的。可以对admin进行url编码,也可以单对a进行url编码。
    其次看第二个if,要使$_GET[id] == "admin",即id经过urlcode解码后为admin
    需要注意的是,经行id传入时,浏览器会对非ASCII码值的字符经行一次urlcode解码,也就是说我们需要编码两次。编码解码网站链接
    对a编码——>%61
    对%61编码——>%2561

  3. 回到原网站(不是phps网站),在url中添加id=%2561dmin 在这里插入图片描述

  4. 得到flag在这里插入图片描述

文末bb:第一次做这些web题当真让人无从下手,像个呆瓜一样。需要时间题量去沉淀自己,在日子中慢慢提高。
对哪里有问题的朋友,可以在评论区留言,若哪里写的有问题,也欢迎朋友们在评论区指出,博主看到后会第一时间确定修改。最后,制作不易,如果对朋友们有帮助的话,希望能给点点赞和关注.
在这里插入图片描述

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。