CTF wed安全(攻防世界)练习题

这篇具有很好参考价值的文章主要介绍了CTF wed安全(攻防世界)练习题。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、Training-WWW-Robots

ctfweb题目,web安全,安全

进入网站如图:

ctfweb题目,web安全,安全

翻译:在这个小小的挑战训练中,你将学习Robots exclusion standard。网络爬虫使用robots.txt文件来检查它们是否被允许抓取和索引您的网站或只是其中的一部分。
有时这些文件会暴露目录结构,而不是保护内容不被抓取。
好好享受吧!

 步骤一:进入robots.txt文件,如图:

ctfweb题目,web安全,安全

步骤二:得到/f10g.php,在进入这里面得到flag

ctfweb题目,web安全,安全

提交即可成功!!!

二、php2

ctfweb题目,web安全,安全

步骤一:打开场景会发现什么都没有提示如图:

ctfweb题目,web安全,安全

步骤二:注意看标题是php2,那么我们要从php下手,输入index.phps   那么为什么这是index.php

了,如下图所示:

phps 文件就是 php 的源代码文件,通常用于提供给用户(访问者)查看 php 代码,因为用 户无法直接通过 Web 浏览器看到 php 文件的来内容,所以需要用 phps 文件代替。其实,只 要不用 php 等已经在服务器中注册过的 MIME 类型为文件即可,但为源了国际通用,所以才 用了 phps 文件类型。

ctfweb题目,web安全,安全

步骤三:分析代码分析用的是url编码,url 解码是% + ascii 的十六进制

url编码网站:http://www.jsons.cn/urlencode/

ctfweb题目,web安全,安全

步骤四:admin一次编码为%61%64%6d%69%6e,如图所示输入得到:

ctfweb题目,web安全,安全

步骤五:原因是系统自动解了一次码,所以我们要对admin进行二次编码如图:

ctfweb题目,web安全,安全

步骤六:如图输入得到flag

ctfweb题目,web安全,安全

提交即可成功!!!

三、unserialize3

ctfweb题目,web安全,安全

步骤一:进入网站如图,这里是一个php序列化问题,以下是PHP学习序列的网站

PHP反序列化由浅入深 - 先知社区

ctfweb题目,web安全,安全

步骤二:打开ps等可以进行php编写软件,如图所示

ctfweb题目,web安全,安全

步骤三:运行就可以得到code=,如图所示

ctfweb题目,web安全,安全

步骤四:如图所示得到flag

ctfweb题目,web安全,安全

提交即可成功!!!

四、view_source

ctfweb题目,web安全,安全

步骤一:打开网站发现说flag不在这里,结合标题说view_source视图源,则查看页面源代码

ctfweb题目,web安全,安全

步骤二:有F12打开源代码(有一些电脑是Fn+F12才能打开),点查看器如图所示得到flag

ctfweb题目,web安全,安全

提交即可成功!!!

五、robots

跟第一题一样

Robots协议,也被称为爬虫协议或网络蜘蛛协议,是网站和爬虫之间的一种约定。具体来说,网站可以通过建立一个robots.txt文件来告知搜索引擎爬虫哪些页面可以抓取,哪些页面不能抓取。搜索引擎爬虫在访问网站时会首先查看这个文件,以确定其访问的范围。如果robots.txt文件不存在,那么搜索引擎爬虫通常能够访问网站上所有没有被口令保护的页面。

然而,值得注意的是,Robots协议并不是防火墙,也没有强制执行力。尽管搜索引擎会尽量遵守robots.txt文件中的规则,但它们也可以选择忽视这些规则去抓取网页的快照。因此,Robots协议并不能完全保证网站的隐私。

总的来说,Robots协议的主要作用是指导网络爬虫如何访问和抓取网页,以确保网站访问的合法性和避免不必要的冲突。同时,它也提醒我们,尽管有这样的协议存在,但网站的隐私和安全仍需要依赖其他更为严格的措施来保障

ctfweb题目,web安全,安全

步骤一:进入网站看见robots,就想到robots.txt

ctfweb题目,web安全,安全

ctfweb题目,web安全,安全

步骤二:得到上面,输入他得到flag

ctfweb题目,web安全,安全

提交即可成功!!!

六、get_post

HTTP通常使用两种请求方法,get和post

ctfweb题目,web安全,安全

步骤一:先get方式提交一个a=1的变量如图所示:

ctfweb题目,web安全,安全

步骤二:如上图所示,再输入post方式提交一个b=2,这里需要用HackBar(是一个插件)来进行输入。用F12打开源代码,如图所示输入

ctfweb题目,web安全,安全

ctfweb题目,web安全,安全

这样就完成了

七、backup

步骤一:了解常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history

ctfweb题目,web安全,安全

步骤二:一个个试验一下发现.bak是,叫你下载一个文本,下载

ctfweb题目,web安全,安全

步骤三:打开文本发现flag

ctfweb题目,web安全,安全

提交即可成功!!!

八、cookie

方法一

步骤一:打开网站只有这个信息

ctfweb题目,web安全,安全

步骤二:F12打开源代码,发现cookie.php

ctfweb题目,web安全,安全

步骤三:输入cookiep.php得到如图所示

ctfweb题目,web安全,安全

步骤四:点击网络打开网络,找到cookie.php打开,得到flag

ctfweb题目,web安全,安全

提交即可成功!!!

方法二:

步骤一:打开Burp Suite进行抓包,如图所示,得到cookie.php

ctfweb题目,web安全,安全

 步骤二:输入cookie.php,再进行抓包。

ctfweb题目,web安全,安全

步骤三:得到如图所示的flag 

ctfweb题目,web安全,安全文章来源地址https://www.toymoban.com/news/detail-853925.html

到了这里,关于CTF wed安全(攻防世界)练习题的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [CTF/网络安全] 攻防世界 backup 解题详析

    题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! PHP 脚本文件的备份文件名,通常采用以下命名方式: 在原始文件名后添加日期时间戳。例如,如果要备份名为 index.php 的文件,则可以将其备份文件命名为 index_20230521_004017.php。这

    2024年02月05日
    浏览(64)
  • [CTF/网络安全] 攻防世界 PHP2 解题详析

    翻译: 你能给这个网站进行身份验证吗? index.php是一个常见的文件名,通常用于Web服务器中的网站根目录下。它是默认的主页文件名,在访问一个网站时,如果没有特别指定页面文件名,则服务器会自动加载index.php文件。 在Web应用程序中,index.php文件通常是网站的入口文件

    2024年02月13日
    浏览(45)
  • 网络安全概述练习题

    一.单选 1.全球的13台根域名服务器由哪个机构统一管理( A ) A. ICANN           B. IEEE          C. ISO          D. CNCERT 2.我国,中央网络安全和信息化领导小组第一次会议于哪一年召开( B ) A. 2013年          B. 2014年            C. 2015年           D. 2016年 3.以下哪项不

    2024年02月09日
    浏览(36)
  • 基线管理与安全配置练习题

    一.单选 1.自动化基线检查的缺点是( A ) A.可能造成未知影响           B.检查速度慢          C.检查时间长          D.检查非常不准确 2.Windows基线人工配置主要通过( D ) A.注册表               B.控制面版               C.设置               D.组策略 3.Windows基线

    2024年01月20日
    浏览(42)
  • 网络安全法律法规练习题

    一.单选 1.《中华人民共和国网络安全法》正式实施的日期是以下哪个选项?( C ) A. 2016年11月7日        B. 2016年12月7日        C. 2017年6月1日        D. 2017年7月6日 2.以下哪部法律是我国保障网络安全的基本法?( D ) A.《国家安全法》      B.《保密法》      C.《治安

    2024年02月06日
    浏览(35)
  • 网络安全设备配置练习题1

    1.  ( 单选题, 5分) 如图所示,客户端A和服务器B之间建立TCP连接,图中两处“?”报文序号应该是下列哪项? A. a+1:a B. a:a+1 C. b+1:b D. a+1:a+1 正确答案:  D:a+1:a+1; 2.  ( 单选题, 5分) 如图所示为配置 NAT Server 后生成的两条 Server Map 表项,关于该图所呈现的信息,以下哪项描述是错误的?[单选

    2024年02月11日
    浏览(44)
  • [CTF/网络安全] 攻防世界 php_rce 解题详析

    PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的一种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),攻击者通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器

    2024年02月06日
    浏览(50)
  • [CTF/网络安全] 攻防世界 weak_auth 解题详析

    题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。 weak_auth翻译: 弱认证 这个术语通常用来描述一种较弱的安全认证方法或机制,它可能存在安全漏洞,易受到攻击或者被绕过。 在信息安全领域中,弱认证是一种常见的安全威胁。例如,使用简单的密码或者未加

    2024年02月13日
    浏览(43)
  • [CTF/网络安全] 攻防世界 simple_php 解题详析

    题目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 $a=@$_GET[\\\'a\\\']; 从HTTP GET请求参数中获取一个名为a的变量,并将其赋值给变量a。@符号用于禁止错误输出,如果不存在参数a则会将变量a设置为NULL。 $b=@$_GET[\\\'b\\\']; 从HTTP GET请求参数中获取一个名为b的变量,

    2024年02月13日
    浏览(45)
  • [CTF/网络安全] 攻防世界 disabled_button 解题详析

    题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢? 题目提示 前端知识 ,由HTML相关知识可知,该按钮 即input标签 不能提交的原因有以下六种: 没有包含在表单中: input 标签必须包含在表

    2024年02月07日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包