CTF攻防世界web-新手区解题思路总结及使用工具
作为一个新手小白,如果文章中有什么不错误或者不解的地方,还望谅解。(写了多少就更新多少啦)
(此博客是自己做题时的过程,中间有查找相关的资料以及大佬们的博客链接)
点击图中方框进行加载,若加载不出来网址,刷新或将电脑重启。
第一题:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
观察题目:①查看网页源代码 ②鼠标右键禁止使用
解题思路:查看网页源代码的方法有两种:鼠标右键或键盘中的f12(或fn+f12)
题目中已经说明鼠标用不了,所以直接使用键盘打开源代码即可。
具体操作:
点击跳转网页,按f12直接打开源代码
即可得到flag
第二题:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
观察题目:HTTP的两种常用请求方法
解题思路:对HTTP进行大致的了解,在 解题中常用的为GET和POST这两个请求方法
解题工具:火狐浏览器:MaxHackbar(火狐插件,直接在火狐浏览器上搜索)
具体操作:第一步:安装插件,点击 添加到Firefox即可
第二步:①点击转跳网页
网页内容(直接说明用GET方式,,GET方一般为在url后拼接参数,只能以文本的方式传递参数。)
“统一资源定位符(URL)是Internet上标准资源的地址。URL指示资源的位置以及用于访问它的协议。互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的具体位置。”
②因此直接在http://220.249.52.133:34941/后进行拼接,根据提示加入 ?a=1
http://220.249.52.133:34941/?a=1(这里使用英文的问号?)
③根据提示再用POST法,用鼠标右键或f12打开如下图所示,这里出现了已经安装好的MaxHackbar,点击直接使用
1)在第一个方框内,将修改后的url复制粘贴
2)勾选Post Data,跳出第二个方框
3)在第二个方框中填入给出的信息:b=2
4)点击左边第三个框框,Execution,得到flag
第三题:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
观察题目:Robots协议
解题思路:对Robots协议进行大致的了解https://www.cnblogs.com/sddai/p/6820415.html
具体操作: robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。首先检查该站点根目录下是否存在robots.txt
1)观察url,发现没有robots.txt。直接进行添加
2)f1ag_1s_h3re.php这个页面不允许被爬取,将url中的robots.txt删掉,加入f1ag_1s_h3re.php
得到flag
第四题:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!
观察题目:备份文件
解题思路:常见的备份文件后缀名有: .git .svn .swp .~ .bak .bash_history
(备份文件名格式通常为文件+.bak)
具体操作:
①点击跳转网页,得到问题,可得文件为index.php,则文件名为index.php.bak
② 1)在url中添加index.php.bak,回车
2)点击浏览,在里面选择使用工具(记事本即可)
3)在记事本中找出flag
第五题:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗’
来源:oschina
链接:https://my.oschina.net/u/4344838/blog/4524270