XCTF攻防世界练习区-web题-Robots

0x03. Robots

【题目描述】

X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。

【目标】

掌握robots协议的知识。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索爬虫访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索爬虫就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索爬虫将能够访问网站上所有没有被口令保护的页面。

Robots协议（也称为爬虫协议、机器人协议等）的全称是“网络爬虫排除标准”（Robots Exclusion Protocol），网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。
robots协议通常以robots.txt存在，robots.txt文件是一个文本文件，robots.txt是一个协议，而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。

robots.txt文件写法：

User-agent: * 这里的代表的所有的搜索引擎种类，是一个通配符
Disallow: /admin/ 这里定义是禁止爬寻admin目录下面的目录
Disallow: /require/ 这里定义是禁止爬寻require目录下面的目录
Disallow: /ABC/ 这里定义是禁止爬寻ABC目录下面的目录
Disallow: /cgi-bin/.htm 禁止访问/cgi-bin/目录下的所有以".htm"为后缀的URL(包含子目录)。
Disallow: /?* 禁止访问网站中所有包含问号 (?) 的网址
Disallow: /.jpg$ 禁止抓取网页所有的.jpg格式的图片
Disallow:/ab/adc.html 禁止爬取ab文件夹下面的adc.html文件。
Allow: /cgi-bin/ 这里定义是允许爬寻cgi-bin目录下面的目录
Allow: /tmp 这里定义是允许爬寻tmp的整个目录
Allow: .htm$ 仅允许访问以".htm"为后缀的URL。
Allow: .gif$ 允许抓取网页和gif格式图片
Sitemap: 网站地图 告诉爬虫这个页面是网站地图

【解题思路】

（1）思路1

第一步：构造访问robots.txt的链接http://111.198.29.45:34695/robots.txt

这个意思就禁止爬取文件：f1ag_1s_h3re.php，同样文件命名也说明了一切了吧。非要打开看看。

第二步：构造链接http://111.198.29.45:34695/f1ag_1s_h3re.php

直接获取到flag。

（2）思路2

当然也有第二种方法就是，使用dirsearch工具进行扫描目录。

扫目录脚本dirsearch(项目地址：https://github.com/maurosoria/dirsearch)

扫描能找到robots.txt文件。

 

参考链接：

（涉及的知识点讲解，很详细）

https://www.cnblogs.com/kubbycatty/archive/2019/06/27/11100171.html

（过程讲解，很详细）

https://blog.csdn.net/God_XiangYu/article/details/100602297