《攻防世界》新手题
最近做了攻防世界上部分新手题,今天总结一下。
一、view_source
查看网页源代码的方式有4种,分别是:
1、鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了;
2、可以使用快捷Ctrl+U来查看源码;
3、在地址栏前面加上view-source,如view-source:https://www.baidu.com ;
4、浏览器的设置菜单框中,找到“更多工具”,然后再找开发者工具,也可以查看网页源代码。
这道题明显考查查看源代码的方式,虽然不能通过鼠标右键的方式来查看,但是可以通过上面其他方式查看。
通过网页源代码的注释中可以找到flag:cyberpeace{a59340029774c19ea1e11e2a11f2d47c}
二、robots
robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
打开网页后,发现是空白网页。
查看网页源代码什么都没有发现。
然后访问robots文件,找到有关flag的php文件。
然后访问f1ag_1s_h3re.php,成功找到flag。
三、backup
php 文件备份会生成一个以原文件名+后缀+.bak 的文件
常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history
用御剑工具扫描后台,得到一个网址,加后缀.bak
访问后,下载备份文件即可得到flag
