Hackinglab 基础关 write up

基础关

1.直接看源码
2.由题意可知,所用的加密方法应该是ROT13
3.看到密文后,明显可知是base64,有提示可知,加密次数应该不少,利用脚本不断decode即可
4.利用MD5进行decode即可
5.更改请求头中的Accept-Language
6.将headers里的浏览器改为’HAHA’
7.相应头里的Key就是答案
8.302状态码,利用wireshark抓包,获取最开始的response
9.查看相应头里set-Cookies为’Login=0’,python脚本将cookies改为’Login’:’1’即可
10.源码显示所post的数据的name是’v’,且限制了我们post数据的长度,利用python脚本,随便post一个比较大的数字即可
11.实验系统出现问题,直接看源码就可以看到,故不算完成,等以后系统好了,再模拟一遍
12.试过/admin.php后,尝试/robots.txt,发现disallow只有一项,接着尝试它,发现提示还差一点,尝试/login.php,发现成功

笔记:

/robots.txt

Robots协议用来告知搜索引擎哪些页面能被抓取,哪些页面不能被抓取;可以屏蔽一些网站中比较大的文件,如:图片,音乐,视频等,节省服务器带宽;可以屏蔽站点的一些死链接。方便搜索引擎抓取网站内容;设置网站地图连接,方便引导蜘蛛爬取页面。

User-agent: * 这里的*代表的所有的搜索引擎种类,*是一个通配符
Disallow: /admin/ 这里定义是禁止爬寻admin目录下面的目录
Disallow: /require/ 这里定义是禁止爬寻require目录下面的目录
Disallow: /ABC/ 这里定义是禁止爬寻ABC目录下面的目录
Disallow: /cgi-bin/*.htm 禁止访问/cgi-bin/目录下的所有以”.htm”为后缀的URL(包含子目录)。
Disallow: /*?* 禁止访问网站中所有包含问号 (?) 的网址
Disallow: /.jpg$ 禁止抓取网页所有的.jpg格式的图片

Disallow:/ab/adc.html 禁止爬取ab文件夹下面的adc.html文件。
Allow: /cgi-bin/ 这里定义是允许爬寻cgi-bin目录下面的目录
Allow: /tmp 这里定义是允许爬寻tmp的整个目录
Allow: .htm$ 仅允许访问以”.htm”为后缀的URL。
Allow: .gif$ 允许抓取网页和gif格式图片
Sitemap: 网站地图 告诉爬虫这个页面是网站地图

ROT13

ROT13往往用于字母加密中,十分容易破解,故常见于论坛,简单来说,ROT13就是key=13的凯撒密码,对任何字元x:ROT13(ROT13(x))=ROT26(x)=x
而ROT13也衍生出了ROT5之类的加密方式,此处不必细谈。

Accept-Language

这是HTTP的请求头的一项属性,用于告诉服务器浏览器可以支持什么语言。 如果网站支持多语种的话,可以使用这个信息来决定返回什么语言的网页 。

这是我的firefox的Accept-Language:

Accept-Language:”zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3”

zh-CN,zh表示中文和简体中文,q是权重系数,范围 0 =< q <= 1,q 值越大,请求越倾向于获得其“;”之前的类型表示的内容,若没有指定 q 值,则默认为1,若被赋值为0,则用于提醒服务器哪些是浏览器不接受的内容类型。
而en-US,en是英文(具体的没查到)

你可能感兴趣的:(Web)