攻防世界 web新手練習區題解 上
- view_source
- robots
- 前置知識-robots協議
- 解題
- backup
- cookie
- disabled_button
- weak_auth
view_source
題目描述:X老師讓小寧同學查看一個網頁的源代碼,但小寧同學發現滑鼠右鍵好像不管用了,
從題目描述就知道是讓我們查看網頁源代碼,但是又說滑鼠右鍵壞了,那么就可以f12一件查看原始碼
成功拿到flag
robots
題目描述:X老師上課講了Robots協議,小寧同學卻上課打了瞌睡,趕緊來教教小寧Robots協議是什么吧,
前置知識-robots協議
robots協議又叫robots.txt,是一種存放在網站根目錄下的ascii編碼的文本檔案,它的作用就是告訴瀏覽器此網站中的哪些內容是不應被搜索引擎的漫游器獲取的,哪些是可以被漫游器獲取的,robots.txt的檔案名統一是小寫的
解題
訪問robots.txt
發現名為f1ag_1s_h3re.php的檔案,訪問拿到flag
backup
題目描述:X老師忘記洗掉備份檔案,他派小寧同學去把備份檔案找出來,一起來幫小寧同學吧!
由描述可知,這題是考察我們備份檔案相關的知識
常見的備份檔案后綴有.svn .git .bak .bash_history,一個一個去嘗試
存在名為index.php.bak的備份檔案
打開拿到flag
cookie
查看cookie的方式有幾種,最方便的還是f12->Applcation->cookies
發現cookie.php,訪問
提示我們查看回傳的資料
同理f12->network,然后重繪一下頁面,就能夠看到回傳的資訊了
flag就在回傳頭
disabled_button
題目描述:X老師今天上課講了前端知識,然后給了大家一個不能按的按鈕,小寧驚奇地發現這個按鈕按不下去,到底怎么才能按下去呢?
f12先看下原始碼
發現按鈕的默認值是disabled,直接刪了,就能點了
weak_auth
題目描述:小寧寫了一個登陸驗證頁面,隨手就設了一個密碼,
隨便輸一個用戶名和密碼,111/222
提示讓我們用admin登錄,隨便輸一下admin/123456
啊這,這密碼屬實有點隨便,這題應該是想讓我們去爆破,使用burp來操作,這里要使用burp的intruder模塊
兩個$中間的內容就是要爆破的東西
然后加載一個字典,點擊右上角的start attack,就可以開始爆破了
發現有一個回傳包的長度跟其他的包不一樣
點開發現flag,關于burp的爆破我就不多說了,有興趣可以自己去百度
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/197635.html
標籤:java