攻防世界web题总结A

题1：
思路：题目说右键用不了，因为打开右键可以查看网页的代码，所以我们要想办法打开网页大源代码：

复制链接在浏览器上打开：

因为右键用不了：我们可以按一下快捷键：
1）：可以直接按“F12”（不过有些电脑不可以，需要按“Fn+F12”）

2）：直接按“Ctrl+u”

打开源代码后发现了flag的一般形式：所以就去验证然后就对了。这道题很简单。

题2：
题目应该是get和post传参：

POST和GET。POST是向服务器上传数据，GET是从服务器下载数据，
两者最大的区别就是GET请求没有请求主体（Request Body）。
GET请求直接将请求的参数跟在url的后面，向我们平时看到的 " /?id=xxxx&password=xxxx "就是GET请求的参数，服务器解析了url以后会将数据发送到我们的浏览器上。
POST请求则需要将上传的数据下载请求主体中。这样有一个好处是相比GET请求，POST请求具有更高的安全性，可上传的数据没有长度的限制。

思路：get 传参根据题目要求直接在URL后面跟所要传的参数；
post传参根据题目要求需要使用其它工具（这里用HackBar）在主体内传参

解题过程：

1)由get要求，输入get传参方式“?a=1”得post传参要求：

接着由于POST请求无法在url中体现出来，所以我们需要借助工具“HackBar”。

flag就会出现在题目中了：

但有些电脑不能直接得到flag；

所以要以下步骤：

题3：

题目是关于备份文件的；我们先来了解一些文件的有关知识：

很多开发人员在编辑文件前，都会先进行一次备份，同时会把备份文件和源文件放在服务器上的同一个地方。这样的话，如果存在绕过身份验证，就可以直接下载到这个备份文件，从而得到网站源代码。

有关备份文件的可以利用的情况主要有3种

1. 代码编辑器产生的备份文件

2. 没有删除版本控制系统（VCS）产生的备份文件

3. 没有删除开发人员手动备份的文件

常见备份文件的后缀：

.rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html

于是我们打开文件的源代码，查看页面信息：

接着我们尝试用文件备份后缀名是否可以找到文件：

一个一个的试，到“.bar”后缀名时出现了flag：

解题关键是要了解文件备份的知识。

题4：

disabled_button:

打开题目后发现一个不能按的按钮：

接着按快捷键“F12”（Fn+F12）或“ctrl+u”查看源代码找到了不能按按钮的原因：
因为“disabled”键我们不能通过点击按钮提交表单，

因此我们可以直接在网页中把“disabled”键删除就可以啦！然后在按“flag”按钮就可以得到flag: