@

ctf - web入门

web1

查看网页源码:ctrl + u 或 F12

开发注释未及时删除

题解

查看网页源码即可。

web2

依旧可以通过 ctrl + u 查看网页源码

也可以在通过在url头部添加 view-source: 来查看源码

js前台拦截约等于无效操作。

题解

依旧是查看源码。

查看网页源码后可看到:



oncontextmenu 事件:在元素中用户右击鼠标时触发并打开上下文菜单。

onselectstart 事件:触发时间为目标对象被开始选中时(即选中动作刚开始,尚未实质性被选中)。

onkeydown 事件:在用户按下一个按键时执行 Javascript 代码

keyCode表示键盘编码,编码 123 为 F12。

web3

通过 burpsuite 抓包,flag 在返回的响应数据包里面。

题解



HTTP 协议不再赘述

web4

“后台地址泄露” 总有人把后台地址写入robots

robots 协议也称爬虫协议、爬虫规则等,是指网站可建立一个 robots.txt 文件来告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,而搜索引擎则通过读取 robots.txt 文件来识别这个页面是否允许被抓取。但是,这个 robots 协议不是防火墙,也没有强制执行力,搜索引擎完全可以忽视 robots.txt 文件去抓取网页的快照。

Robots 协议用来告知搜索引擎哪些页面能被抓取,哪些页面不能被抓取;可以屏蔽一些网站中比较大的文件,如:图片,音乐,视频等,节省服务器带宽;可以屏蔽站点的一些死链接。方便搜索引擎抓取网站内容;设置网站地图连接,方便引导蜘蛛爬取页面。

题解

考点是 robots.txt 文件,直接访问 url/robots.txt 获得 flag



web5

phps 源码泄露有时候能帮上忙

题解

考点 phps 文件泄露,直接访问 index.phps。获得 flag

原理

phps 文件是 php 的源代码文件,通常用于提供给用户(访问者)查看 php 代码,因为用户无法直接通过 Web 浏览器看到 php 文件的内容,所以需要用 phps 文件代替。

web6

解压源码到当前目录,测试正常,收工

题解

存在源码的压缩包没有删除,访问 /www.zip。知道了 flag 所在的文件和路径,直接访问 /fl000g.txt

访问 www.zip 拿到源码

解压后拿到两个文件。直接查看 txt 文件,并非正确 flag。

访问 fl000g.txt 拿到 flag

原理

源码泄露。

网站管理员一般会将网站源码进行备份,以便于出问题后恢复网站。但备份时,安全意识薄弱的管理员经常会使用一些常见的压缩备份名,如文件夹的名字 www.zip、 web.rar,或者 backup.rar 等,有的甚至就直接把备份好的源码放了在网站根目录里。

常见备份后缀名: .rar、.zip、.7z、.tar.gz、.bak、.txt、.old、.temp。

web7

提示:版本控制很重要,但不要部署到生产环境更重要。

git 泄露:关于版本控制,首先想到的是 git 泄露。访问 /.git,获取源码。

题解

访问 url/.git/index.phpurl/.git 获取源码

web8

提示:版本控制很重要,但不要部署到生产环境更重要。

svn 泄露:访问 /.svn, 得到 flag

题解

考察信息 svn 泄露,直接访问 url/.svn/

web9

题解

提示:发现网页有个错别字?赶紧在生产环境 vim 改下,不好,死机了。

获得下载的源码后打开即可获得 flag。

CTFHUBWeb技能树-信息泄露writeup

原理

vim 缓存信息泄露,直接访问 url/index.php.swp

vim 在编辑文本时就会创建临时缓存文件,用来备份缓冲区中的内容。当程序异常退出时会被保留下来,因此可以通过该缓存文件恢复原始文件内容。

VIM不正常退出产生的swp文件

web10

cookie 只是一块饼干,不能存放任何隐私数据

cookie和session的详解与区别

题解

解法一

谷歌的检查(开发者工具)中在 Application 模块中查看 cookie。

解法二

BurpSuite 直接抓包,在请求数据包看到 flag。

注意:信息经过了 url 编码

枕上诗书闲处好,门前风景雨来佳。

——《摊破浣溪沙》(宋)李清照

《CTFshow-Web入门》01. Web 1~10的更多相关文章

  1. 8、web入门回顾/ Http

    1 web入门回顾 web入门 1)web服务软件作用: 把本地资源共享给外部访问 2)tomcat服务器基本操作      : 启动:  %tomcat%/bin/startup.bat 关闭: % ...

  2. Web入门

    目录 Web入门 学习web路线 前端基础 三剑客的作用 BS架构 数据格式 HTTP协议 四大特性 数据格式 HTTP 状态码分类 状态码列表 案例:简易的BS架构 Web入门 什么是前端? 任何与 ...

  3. ctfshow web入门部分题目 (更新中)

    CTFSHOW(WEB) web入门 给她 1 参考文档 https://blog.csdn.net/weixin_51412071/article/details/124270277 查看链接 sq ...

  4. 关于CTFshow中Web入门42-54

    0x00前记 ​ 终于把学校上学期的期末考试考完了,刚好复习的时候跟着群里的师傅写了ctfshow上Web入门的42-54的题目,其中有很多的坑,但是收获也是很多的,这里做一下总结吧!给自己挖了很多的 ...

  5. ctfshow的web入门171

    web入门171 看到这个查询语句,我们可以进行相关操作 $sql = "select username,password from user where username !='flag' ...

  6. Java web 入门知识 及HTTP协议详解

     Java  web  入门知识 及HTTP协议详解 WEB入门 WEB,在英语中web即表示网页的意思,它用于表示Internet主机上供外界访问的资源. Internet上供外界访问的Web资 ...

  7. Spring Boot 入门之 Web 篇(二)

    原文地址:Spring Boot 入门之 Web 篇(二) 博客地址:http://www.extlight.com 一.前言 上一篇<Spring Boot 入门之基础篇(一)>介绍了 ...

  8. 基于MVC4+EasyUI的Web开发框架经验总结(10)--在Web界面上实现数据的导入和导出

    数据的导入导出,在很多系统里面都比较常见,这个导入导出的操作,在Winform里面比较容易实现,我曾经在之前的一篇文章<Winform开发框架之通用数据导入导出操作>介绍了在Winform ...

  9. web前端开发常用的10个高端CSS UI开源框架

    web前端开发常用的10个高端CSS UI开源框架   随着人们对体验的极致追求,web页面设计也面临着新的挑战,不仅需要更人性化的设计理念,还需要设计出更酷炫的页面.作为web前端开发人员,运用开源 ...

  10. 不用搭环境的10分钟AngularJS指令简易入门01(含例子)

    不用搭环境的10分钟AngularJS指令简易入门01(含例子) `#不用搭环境系列AngularJS教程01,前端新手也可以轻松入坑~阅读本文大概需要10分钟~` AngularJS的指令是一大特色 ...

随机推荐

  1. wmi搜集一台计算机的硬件信息

    作用: Python搜集一台计算机的硬件信息,借助模块:wmi,这个模块只支持window操作系统. 安装: pip install wmi 导入: import wmi 实例 c = wmi.WMI ...

  2. LLM探索:环境搭建与模型本地部署

    前言 最近一直在炼丹(搞AIGC这块),突然发现业务代码都索然无味了- 上次发了篇AI画图的文章,ChatGPT虽然没法自己部署,但现在开源的LLM还是不少的,只要有一块差不多的显卡,要搞个LLM本地 ...

  3. vulnhub_jangow

    来源 vulnhub:https://www.vulnhub.com/entry/jangow-101,754/ 描述 难度:简单 这在 VirtualBox 而不是 VMware 上效果更好 我这里 ...

  4. Java基础之基础语法与面向对象

    前言 小知识 Java由Sun公司于1995年推出,2009年Sun公司被Oracle公司收购,取得Java的版权 Java之父:James Gosling(詹姆斯·高斯林) 专业术语 JDK:jav ...

  5. 【Python入门教程】Python常用表格函数&操作(xlrd、xlwt、openpyxl、xlwings)

    ​         在我们使用Python时,避免不了与Excel打交道.同样Python的三方库和代码的简洁性也为我们处理大数据提供了便利.今天给大家介绍一下常用的处理表格的函数,同时还有一些常用的 ...

  6. 机器翻译技术的发展趋势:从API到深度学习

    目录 机器翻译技术的发展趋势:从API到深度学习 随着全球化的发展,机器翻译技术在各个领域得到了广泛的应用.机器翻译技术的核心是将源语言文本翻译成目标语言文本,其中涉及到语言模型.文本生成模型和翻译模 ...

  7. 浅谈OpenCV的多对象匹配图像的实现,以及如何匹配透明控件,不规则图像

    浅谈OpenCV的多对象匹配透明图像的实现,以及如何匹配半透明控件 引子 OpenCV提供的templateMatch只负责将(相关性等)计算出来,并不会直接提供目标的对应坐标,一般来说我们直接遍历最 ...

  8. JavaCV人脸识别三部曲之三:识别和预览

    欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos <JavaCV人脸识别三部曲>链接 < ...

  9. MAC地址、IP地址与子网———计算机网络

    计算机具有强大的功能.除了体现与计算机本身具有的计算能力外,其他的功能大多是基于与其他计算机联网提供的. 然而,计算机之间的联网不是一根网线就能解决嘛? 答案当然是否定的.实际上计算机间的交流过程十分 ...

  10. 与 AI 同行,利用 ChatGLM 构建知识图谱

    大家好,我是东方财富的一名算法工程师,这里分享一些利用大模型赋能知识图谱建设的一些实践. 为什么知识图谱需要大模型 在金融场景中,天然会有大量结构化的数据需要投入大量的人力去生产和维护,而这样的数据又 ...