攻防世界 Web view_source robots backup cookie weak_auth 详细记录wp 包含burp suite 新手字典爆破
view_source
一开始按了F12 扫了一眼没看到flag 傻乎乎的打开burp suite 也没发现什么 看了下标题
查看源代码 我又按了下F12 有{}!!! qwq 我刚才竟然没看到 当然是连前面的cyberpeace一起复制啦 所以这题告诉我们
<!-- cyberpeace{468e01ef4e6701cbb6dc837fe53255f2} --> 这可以在网页中隐藏代码
还有网址前加上前缀 view-source:
robots
robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。
robots.txt是爬虫协议,防止一些爬虫软件爬
如果将网站视为酒店里的一个房间,robots.txt就是主人在房间门口悬挂的“请勿打扰”或“欢迎打扫”的提示牌。这个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪些房间因为存放贵重物品,或可能涉及住户及访客的隐私而不对搜索引擎开放。但robots.txt不是命令,也不是防火墙,如同守门人无法阻止窃贼等恶意闯入者。
backup
URL后面/index.php.bak
下载文件用记事本打开
常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history
cookie
找cookie的其他方式
1、document.cookie
2、或者把URL的IP地址换成javascript:alert(document.cookie) 弹窗出cookie.php
disabled_button
查看源代码 发现几个可能有用的信息
编辑input标签,禁用属性(删除或更改可用)
查看大佬wp 在线请求
weak_auth
admin 123456 就这?
然后试了其他账号密码
同时出现弹窗
账号是admin 但是密码不知道 结合dictionary 字典 就需要用到burp suite 爆破
发现字数不一样的就是密码
字典链接
https://github.com/cnhkkat/Blasting_dictionary.git
- 【攻防世界】CTF web新手09 弱口令爆破 weak_auth
- XCTF攻防世界web新手练习_ 7_weak_auth
- 史上最详细系列--攻防世界web(新手7-12)
- 攻防世界WEB之新手练习区WP整理
- 史上最详细系列--攻防世界web(新手1-6)
- XCTF攻防世界web新手练习_ 2_backup
- 【攻防世界】CTF web新手07 关于web中的编码问题
- 攻防世界-WEB新手练习篇
- 攻防世界WEB新手区
- 攻防世界——web新手题
- 攻防世界 WEB新手 xff_referer
- CTF攻防世界 WEB方向 新手练习区 题解
- 攻防世界misc 新手练习区 高手进阶区 wp
- 攻防世界web新手区
- 攻防世界web新手之xff_referer
- 【攻防世界】CTF web新手03 robots协议
- 攻防世界web新手题get_post
- 攻防世界web新手之cookie
- 攻防世界web新手之disabled_button
- 攻防世界web新手之simple_js