@

ctf - web入门

web1

查看网页源码:ctrl + u 或 F12

开发注释未及时删除

题解

查看网页源码即可。

web2

依旧可以通过 ctrl + u 查看网页源码

也可以在通过在url头部添加 view-source: 来查看源码

js前台拦截约等于无效操作。

题解

依旧是查看源码。

查看网页源码后可看到:



oncontextmenu 事件:在元素中用户右击鼠标时触发并打开上下文菜单。

onselectstart 事件:触发时间为目标对象被开始选中时(即选中动作刚开始,尚未实质性被选中)。

onkeydown 事件:在用户按下一个按键时执行 Javascript 代码

keyCode表示键盘编码,编码 123 为 F12。

web3

通过 burpsuite 抓包,flag 在返回的响应数据包里面。

题解



HTTP 协议不再赘述

web4

“后台地址泄露” 总有人把后台地址写入robots

robots 协议也称爬虫协议、爬虫规则等,是指网站可建立一个 robots.txt 文件来告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,而搜索引擎则通过读取 robots.txt 文件来识别这个页面是否允许被抓取。但是,这个 robots 协议不是防火墙,也没有强制执行力,搜索引擎完全可以忽视 robots.txt 文件去抓取网页的快照。

Robots 协议用来告知搜索引擎哪些页面能被抓取,哪些页面不能被抓取;可以屏蔽一些网站中比较大的文件,如:图片,音乐,视频等,节省服务器带宽;可以屏蔽站点的一些死链接。方便搜索引擎抓取网站内容;设置网站地图连接,方便引导蜘蛛爬取页面。

题解

考点是 robots.txt 文件,直接访问 url/robots.txt 获得 flag



web5

phps 源码泄露有时候能帮上忙

题解

考点 phps 文件泄露,直接访问 index.phps。获得 flag

原理

phps 文件是 php 的源代码文件,通常用于提供给用户(访问者)查看 php 代码,因为用户无法直接通过 Web 浏览器看到 php 文件的内容,所以需要用 phps 文件代替。

web6

解压源码到当前目录,测试正常,收工

题解

存在源码的压缩包没有删除,访问 /www.zip。知道了 flag 所在的文件和路径,直接访问 /fl000g.txt

访问 www.zip 拿到源码

解压后拿到两个文件。直接查看 txt 文件,并非正确 flag。

访问 fl000g.txt 拿到 flag

原理

源码泄露。

网站管理员一般会将网站源码进行备份,以便于出问题后恢复网站。但备份时,安全意识薄弱的管理员经常会使用一些常见的压缩备份名,如文件夹的名字 www.zip、 web.rar,或者 backup.rar 等,有的甚至就直接把备份好的源码放了在网站根目录里。

常见备份后缀名: .rar、.zip、.7z、.tar.gz、.bak、.txt、.old、.temp。

web7

提示:版本控制很重要,但不要部署到生产环境更重要。

git 泄露:关于版本控制,首先想到的是 git 泄露。访问 /.git,获取源码。

题解

访问 url/.git/index.phpurl/.git 获取源码

web8

提示:版本控制很重要,但不要部署到生产环境更重要。

svn 泄露:访问 /.svn, 得到 flag

题解

考察信息 svn 泄露,直接访问 url/.svn/

web9

题解

提示:发现网页有个错别字?赶紧在生产环境 vim 改下,不好,死机了。

获得下载的源码后打开即可获得 flag。

CTFHUBWeb技能树-信息泄露writeup

原理

vim 缓存信息泄露,直接访问 url/index.php.swp

vim 在编辑文本时就会创建临时缓存文件,用来备份缓冲区中的内容。当程序异常退出时会被保留下来,因此可以通过该缓存文件恢复原始文件内容。

VIM不正常退出产生的swp文件

web10

cookie 只是一块饼干,不能存放任何隐私数据

cookie和session的详解与区别

题解

解法一

谷歌的检查(开发者工具)中在 Application 模块中查看 cookie。

解法二

BurpSuite 直接抓包,在请求数据包看到 flag。

注意:信息经过了 url 编码

枕上诗书闲处好,门前风景雨来佳。

——《摊破浣溪沙》(宋)李清照

《CTFshow-Web入门》01. Web 1~10的更多相关文章

  1. 8、web入门回顾/ Http

    1 web入门回顾 web入门 1)web服务软件作用: 把本地资源共享给外部访问 2)tomcat服务器基本操作      : 启动:  %tomcat%/bin/startup.bat 关闭: % ...

  2. Web入门

    目录 Web入门 学习web路线 前端基础 三剑客的作用 BS架构 数据格式 HTTP协议 四大特性 数据格式 HTTP 状态码分类 状态码列表 案例:简易的BS架构 Web入门 什么是前端? 任何与 ...

  3. ctfshow web入门部分题目 (更新中)

    CTFSHOW(WEB) web入门 给她 1 参考文档 https://blog.csdn.net/weixin_51412071/article/details/124270277 查看链接 sq ...

  4. 关于CTFshow中Web入门42-54

    0x00前记 ​ 终于把学校上学期的期末考试考完了,刚好复习的时候跟着群里的师傅写了ctfshow上Web入门的42-54的题目,其中有很多的坑,但是收获也是很多的,这里做一下总结吧!给自己挖了很多的 ...

  5. ctfshow的web入门171

    web入门171 看到这个查询语句,我们可以进行相关操作 $sql = "select username,password from user where username !='flag' ...

  6. Java web 入门知识 及HTTP协议详解

     Java  web  入门知识 及HTTP协议详解 WEB入门 WEB,在英语中web即表示网页的意思,它用于表示Internet主机上供外界访问的资源. Internet上供外界访问的Web资 ...

  7. Spring Boot 入门之 Web 篇(二)

    原文地址:Spring Boot 入门之 Web 篇(二) 博客地址:http://www.extlight.com 一.前言 上一篇<Spring Boot 入门之基础篇(一)>介绍了 ...

  8. 基于MVC4+EasyUI的Web开发框架经验总结(10)--在Web界面上实现数据的导入和导出

    数据的导入导出,在很多系统里面都比较常见,这个导入导出的操作,在Winform里面比较容易实现,我曾经在之前的一篇文章<Winform开发框架之通用数据导入导出操作>介绍了在Winform ...

  9. web前端开发常用的10个高端CSS UI开源框架

    web前端开发常用的10个高端CSS UI开源框架   随着人们对体验的极致追求,web页面设计也面临着新的挑战,不仅需要更人性化的设计理念,还需要设计出更酷炫的页面.作为web前端开发人员,运用开源 ...

  10. 不用搭环境的10分钟AngularJS指令简易入门01(含例子)

    不用搭环境的10分钟AngularJS指令简易入门01(含例子) `#不用搭环境系列AngularJS教程01,前端新手也可以轻松入坑~阅读本文大概需要10分钟~` AngularJS的指令是一大特色 ...

随机推荐

  1. uni-app Pages.json配置

    https://uniapp.dcloud.net.cn/collocation/pages.html pages.json 文件用来对 uni-app 进行全局配置,决定页面文件的路径.窗口样式.原 ...

  2. Rocky 9 Linux 平台 vim 9.0 源码包编译安装踩坑记录

    目录 vim 9.0 部署准备环境 vim 9.0 源码包正式部署 vim 9.0 初体验 plug-vim 安装插件 在上一篇 <vim入门实战> 篇,我并没有介绍 Linux 平台源码 ...

  3. Win10环境配置(一)——C\C++篇

    Win10环境配置(一)--C\C++篇 1.工具准备 官网下载地址:https://sourceforge.net/projects/mingw-w64/ MinGW64下载地址:https://s ...

  4. Eclipse的Console如何实现中文输出(Eclipse Display Chinese)

    最近遇到Eclipse的Console中文输出乱码的问题,现象如下: 在网上找到一些方法,一般均不好用,直到找到"如何在Eclipse控制台中显示汉字",链接如下 https:// ...

  5. ORM总览

    ORM(Object-Relational Mapping)是一种常见的数据访问技术,它将对象模型和关系模型之间进行映射.ORM的主要作用是简化数据访问和管理,提高开发效率和代码质量.在实际应用中,O ...

  6. 浅谈TCP和UDP

    简介 在计算机网络中,TCP(传输控制协议)和UDP(用户数据报协议)是两个常用的传输层协议.它们分别提供了可靠的数据传输和快速的数据传送,成为互联网世界中的双子星.本文将探讨TCP和UDP的特点.优 ...

  7. OAuth2.0andmultifactorauthentication:Howtocreateasecure

    目录 1. 引言 2. 技术原理及概念 2.1. 基本概念解释 2.2. 技术原理介绍 2.3. 相关技术比较 3. 实现步骤与流程 3.1. 准备工作:环境配置与依赖安装 随着数字化时代的到来,人们 ...

  8. 用AI技术实现自动化的社交媒体广告投放,提高广告效果和收益

    目录 1. 引言 2. 技术原理及概念 2.1 基本概念解释 随着社交媒体的普及,广告投放已经成为了广告行业的重要一环.在过去的几年中,社交媒体广告投放的效果和收益都得到了显著提高,但同时也存在着一些 ...

  9. Python Django 零基础从零到一部署服务,Hello Django!全文件夹目录和核心代码!

    在这篇文章中,我将手把手地教你如何从零开始部署一个使用Django框架的Python服务.无论你是一个刚开始接触开发的新手,还是一个有经验的开发者想要快速了解Django,这篇教程都会为你提供一条清晰 ...

  10. tomcat Filter内存马

    idea调试的时候加入源代码 <dependency> <groupId>org.apache.tomcat</groupId> <artifactId> ...