CTF wed安全(攻防天下)练习题_ctfweb题目
一、Training-WWW-Robotshttps://img-blog.csdnimg.cn/direct/e19de85eec1d42b58f65845801754648.png
进入网站如图:
https://img-blog.csdnimg.cn/direct/385495f148264096b55377de5d641063.png
翻译:在这个小小的挑衅训练中,你将学习Robots exclusion
standard。网络爬虫使用robots.txt文件来查抄它们是否被答应抓取和索引您的网站或只是其中的一部分。
偶然这些文件会袒露目次结构,而不是掩护内容不被抓取。
好好享受吧!
**步调一:**进入robots.txt文件,如图:
https://img-blog.csdnimg.cn/direct/656ee49441364e71ba0c9fbefb9bdaa9.png
**步调二:**得到/f10g.php,在进入这内里得到flag
https://img-blog.csdnimg.cn/direct/5104e0aedc8d43df8ff01e9e163f304e.png
提交即可乐成!!!
二、php2
https://img-blog.csdnimg.cn/direct/89be88f2bbb14f849ea6ad6d6741984c.png
**步调一:**打开场景会发现什么都没有提示如图:
https://img-blog.csdnimg.cn/direct/aeafa46584fa4c8abc67d76daacfe1dd.png
**步调二:**留意看标题是php2,那么我们要从php下手,输入index.phps 那么为什么这是index.php
了,如下图所示:
phps 文件就是 php 的源代码文件,通常用于提供给用户(访问者)查看 php 代码,由于用 户无法直接通过 Web 欣赏器看到 php
文件的来内容,所以需要用 phps 文件代替。其实,只 要不消 php 等已经在服务器中注册过的 MIME 类型为文件即可,但为源了国际通用,所以才
用了 phps 文件类型。
https://img-blog.csdnimg.cn/direct/ea40a7e9d0474b1f897299a3ec622af8.png
**步调三:**分析代码分析用的是url编码,url 解码是% + ascii 的十六进制
url编码网站:http://www.jsons.cn/urlencode/
https://img-blog.csdnimg.cn/direct/a081f2924f7d4783ab675b05432d4b7a.png
**步调四:**admin一次编码为%61%64%6d%69%6e,如图所示输入得到:
https://img-blog.csdnimg.cn/direct/b1fba7fca6274afa8d68f7f16f5c4d3b.png
**步调五:**原因是体系自动解了一次码,所以我们要对admin举行二次编码如图:
https://img-blog.csdnimg.cn/direct/a176b5f455e94dcc922f9ea2577258e3.png
**步调六:**如图输入得到flag
https://img-blog.csdnimg.cn/direct/030d95f7f84a4c8cba35c81a523cbd80.png
提交即可乐成!!!
三、unserialize3
https://img-blog.csdnimg.cn/direct/3223bcb20b61495abfc91edf372ba2cf.png
**步调一:**进入网站如图,这里是一个php序列化问题,以下是PHP学习序列的网站
PHP反序列化由浅入深 -
先知社区
https://img-blog.csdnimg.cn/direct/a1cfcf9a87db49948007441ef6a6cf75.png
**步调二:**打开ps等可以举行php编写软件,如图所示
https://img-blog.csdnimg.cn/direct/71822b6b7cf541579e9bc85ff40f6906.png
**步调三:**运行就可以得到code=,如图所示
https://img-blog.csdnimg.cn/direct/2d20c9edd4704983b8a6912316d71c2f.png
**步调四:**如图所示得到flag
https://img-blog.csdnimg.cn/direct/ce58756ee7384f80bc9fbb14e3858e86.png
提交即可乐成!!!
四、view_source
https://img-blog.csdnimg.cn/direct/2ce5e97f4d73497889e5cb521d10e69f.png
**步调一:**打开网站发现说flag不在这里,结合标题说view_source视图源,则查看页面源代码
https://img-blog.csdnimg.cn/direct/f1bd5d4788f14642afd18e171e025313.png
**步调二:**有F12打开源代码(有一些电脑是Fn+F12才能打开),点查看器如图所示得到flag
https://img-blog.csdnimg.cn/direct/a86e893efad04c92b51c6892afc7b1a8.png
提交即可乐成!!!
五、robots
跟第一题一样
Robots协议,也被称为爬虫协议或网络蜘蛛协议,是网站和爬虫之间的一种约定。详细来说,网站可以通过建立一个robots.txt文件来告知搜索引擎爬虫哪些页面可以抓取,哪些页面不能抓取。搜索引擎爬虫在访问网站时会首先查看这个文件,以确定其访问的范围。如果robots.txt文件不存在,那么搜索引擎爬虫通常能够访问网站上所有没有被口令掩护的页面。
然而,值得留意的是,Robots协议并不是防火墙,也没有强制执行力。尽管搜索引擎会尽量服从robots.txt文件中的规则,但它们也可以选择忽视这些规则去抓取网页的快照。因此,Robots协议并不能完全保证网站的隐私。
总的来说,Robots协议的重要作用是引导网络爬虫如何访问和抓取网页,以确保网站访问的合法性和制止不须要的冲突。同时,它也提醒我们,尽管有如许的协议存在,但网站的隐私和安全仍需要依赖其他更为严酷的措施来保障
https://img-blog.csdnimg.cn/direct/8b998a4fd0be4c38a60fe950caeb2179.png
**步调一:**进入网站看见robots,就想到robots.txt
https://img-blog.csdnimg.cn/direct/a1223ba8a95a4e529b3a12f92a21c63f.png
https://img-blog.csdnimg.cn/direct/24cfc7435c8e4af1999a75821b71d19e.png
步调二:得到上面,输入他得到flag
https://img-blog.csdnimg.cn/direct/b70e11d257ef4df29a575d21d29c3d0a.png
提交即可乐成!!!
**六、**get_post
HTTP通常使用两种请求方法,get和post
https://img-blog.csdnimg.cn/direct/65d07b3981994f97a88cc407e620311d.png
**步调一:**先get方式提交一个a=1的变量如图所示:
https://img-blog.csdnimg.cn/direct/ff758204d1d242fe87ed948a9a057d89.png
**步调二:**如上图所示,再输入post方式提交一个b=2,这里需要用HackBar(是一个插件)来举行输入。用F12打开源代码,如图所示输入
https://img-blog.csdnimg.cn/direct/ce4486590394485586581d178eff8402.png
https://img-blog.csdnimg.cn/direct/bbc6aecfd3ba4cdea9d39447668d9a9e.png
如许就完成了
七、backup
**步调一:**了解常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history
https://img-blog.csdnimg.cn/direct/df63342767e9405abebc05bfc81ead1e.png
**步调二:**一个个试验一下发现.bak是,叫你下载一个文本,下载
https://img-blog.csdnimg.cn/direct/06a671988a76411eb507118ff087a83a.png
**步调三:**打开文本发现flag
https://img-blog.csdnimg.cn/direct/a3fa109f8cc44a35b25b811f0c648c77.png
提交即可乐成!!!
八、cookie
方法一
**步调一:**打开网站只有这个信息
https://img-blog.csdnimg.cn/direct/6a5ee398e28047dabe2fe22a0db9949a.png
**步调二:**F12打开源代码,发现cookie.php
https://img-blog.csdnimg.cn/direct/3386eddfb8b64e95921aad3f6f005b8e.png
**步调三:**输入cookiep.php得到如图所示
https://img-blog.csdnimg.cn/direct/5877f02e5d3c4601b1d2ec272a99ce73.png
**步调四:**点击网络打开网络,找到cookie.php打开,得到flag
https://img-blog.csdnimg.cn/direct/95b390467e434dfba732ed70f1a8a7ac.png
提交即可乐成!!!
方法二:
**步调一:**打开Burp Suite举行抓包,如图所示,得到cookie.php
https://img-blog.csdnimg.cn/direct/da6fe11f8bd3427297a15406b28c09a3.png
**步调二:**输入cookie.php,再举行抓包。
https://img-blog.csdnimg.cn/direct/2b0c42f7d87046c3b24bd7a3e96ce80a.png
**步调三:**得到如图所示的flag
https://img-blog.csdnimg.cn/direct/293b0cacd64146fcb8397b94b1007379.png
本日只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。**
网络安全学习资源分享:
末了给各人分享我本身学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小同伴们有资助!
零底子入门
对于从来没有打仗过网络安全的同学,我们帮你预备了详细的学习发展门路图。可以说是最科学最体系的学习门路,各人跟着这个大的方向学习准没问题。
[【点击领取】网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/0fF4Eyk-
Hd5r53quASOkGQ)
1.学习门路图
攻击和防守要学的东西也不少,详细要学的东西我都写在了上面的门路图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我本身录的网安视频教程,上面门路图的每一个知识点,我都有配套的视频讲解。[【点击领取视频教程】](https://mp.weixin.qq.com/s/0fF4Eyk-
Hd5r53quASOkGQ)
技术文档也是我本身整理的,包括我到场大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本[【点击领取技术文档】](https://mp.weixin.qq.com/s/0fF4Eyk-
Hd5r53quASOkGQ)
(都打包成一块的了,不能逐一展开,总共300多集)
3.技术文档和电子书
技术文档也是我本身整理的,包括我到场大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本[【点击领取书籍】](https://mp.weixin.qq.com/s/0fF4Eyk-
Hd5r53quASOkGQ)
4.工具包、面试题和源码
“工欲善其事必先利其器”我为各人总结出了最受接待的几十款款黑客工具。涉及范围重要会合在
信息收集、Android黑客工具、自动化工具、网络垂纶等,感兴趣的同学不容错过。
末了就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是各人在面试深佩服、奇安信、腾讯或者其它大厂面试时经常碰到的,如果各人有好的题目或者好的见解接待分享。
参考解析:深佩服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表现更加易懂。
内容概要:包括
内网、操作体系、协议、渗出测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
https://img-blog.csdnimg.cn/8de5365b55fd4a929e0cef43c14ce512.png
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
(https://mp.weixin.qq.com/s/0fF4Eyk-
Hd5r53quASOkGQ)
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,重要专业课程:程序筹划、盘算机组成原理原理、数据结构、操作体系原理、数据库体系、 盘算机网络、人工智能、天然语言处理、社管帐算、网络安全法律法规、网络安全、内容安全、数字取证、呆板学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉本身没有进步,轻易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里
页:
[1]