IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 攻防世界做题笔记 -> 正文阅读

[PHP知识库]攻防世界做题笔记

攻防世界Web新手区题解

第一题:View_source

题目:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用。

解答:按F12进入到调试模式,查看网页元素

在这里插入图片描述

得到flag

请添加图片描述

第二题:Robots

题目:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

解答:在地址后添加robots.txt查看robots.txt中的内容

请添加图片描述

将地址后改为f1ag_1s_h3re.php得到flag

请添加图片描述

第三题 :Get_post

题目:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

解答:在地址后添加?a=1 用get 方式提交a值

在这里插入图片描述

用BurpSuite以POST方式传递b=2,记得添加Content-Type: application/x-www-form-urlencoded

请添加图片描述

得到flag

第四题:Cookie

题目:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?’

解答:按F12进入到调试模式,查看网页Cookie。得到信息,查看cookie.php。

请添加图片描述

得到信息,查看cookie.php

请添加图片描述

在Http响应头得到flag

第五题:Backup

题目:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!

解答:在地址后添加index.php.bak就可以获得index.php备份文件

请添加图片描述

将下载文件打开,就可以获得flag

第六题:Disabled_button

题目:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

解答:按F12进入到调试模式,查看网页元素。将input中的diable=""删除,就可以点击按钮。

请添加图片描述

按下按钮即可获得flag请添加图片描述

按下按钮,即可获得flag

请添加图片描述

第七题:simple_php

题目:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

解答:分析代码,发现是以get方式传输a值和b值,要求a=0&&a为真,获得一半flag。要求b不能为数字且b>1234,获得另一半flag。在地址后添加/?a=A&&b=1243234c请添加图片描述

获得flag

第八题:weak_auth

题目:小宁写了一个登陆验证页面,随手就设了一个密码。

解答:一般默认管理员用户名为admin,既然是弱密码就可以暴力猜解。先用admin和admin进行登录获拦截数据包发给Burpsutie,再用Burpsuite的Spider的模块进行暴力猜解。请添加图片描述

请添加图片描述

很明显123456的响应长度最长,很可能是密码,输入admin和123456即可获得flag

请添加图片描述

第九题:xff_referer

题目:X老师告诉小宁其实xff和referer是可以伪造的。

解答:利用Burpsuite伪造发送请求。

在其中添加 X-Forwarder-For 123.123.123.123 referer google.com请添加图片描述

即可获得flag

请添加图片描述

第十题:webshell

题目:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。

解答: 利用Burpsuite发送POST请求shell=system(‘cat flag.txt’)

请添加图片描述

即可获得flag

请添加图片描述

第十一题:simple_js

题目:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx}

解答:按F12审查网页,看到两串数字,利用python进行ascii码转换。请添加图片描述在这里插入图片描述

获得flag

第十二题:command_execution

题目:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。

解答:在输入框里输入ping 127.0.0.1&&find / - name “flag.txt”,获得信息/home/flag.txt

请添加图片描述

再输入ping 127.0.0.1&& cat /home/flag.txt,即获得flag

请添加图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-12-02 16:33:16  更:2021-12-02 16:34:07 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 20:50:04-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计