adworld.xctf-web-新手练习区刷题

1.View Source

根据题目，就能猜到，此处是查看页面源码，在查看的过程中发现右键不能使用了，那就用F12吧~

2.Robots

这题是考察Robots协议，访问的时候页面是一片空白，直接输入robots.txt

在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。

3.Backup

对常用的备份文件名进行测试*.php~ or *.php.bak
这里将该文件下载下来并打开。

4.Cookie

查看页面源代码并且根据题目访问cookie，得到look-here：“cookie.php"

5.Disabled_Button

这题考的是html的一些基础语法
查看页面源代码发现有个disabled=""，这里将它删除掉。

删除以后发现按钮可以点击了，点击以后就获得了flag~

6.Weak_auth

打开题目环境，出现的是一个login登陆框，从题目的描述得知该题是弱口令类型，那么直接手动撸一发。
可以去github下载字典利用brup来进行爆破
常用的user：
admin
root
admin123
administrator
Admin
…
常用的password：
123
123456
123456789
admin
root
admin123
…

ps：这个密码应该是随即的，我第一次打开死活撞不进去，后面重新开了一次，就撞进去了~。

7.simple_php

进去以后得到了页面的源码，通过源码分析可以知道，get传递了两个参数a和b，下面判断条件是a==0，输出flag1，检测b是否为数字，b大于1234输出flag2；分析得出payload：?a=0a&b=12345a

8.Get_Post

直接在url中输入/a?=1

这里利用hackbar传递post参数/?b=2即可获得flag

9.Xff_Referer

这题主要是考伪造xff和referer。

打开题目环境后得到提示需要将ip伪造为123.123.123.123，这里利用burp抓包然后丢到repeater进行修改。

10.webshell

这里是考查如何使用webshell，可以使用菜刀或者蚁剑，但是我这里用菜刀无法连接，我后面换蚁剑就能够正常连接了！

11.Command_execution

查看上级目录有没有其他的文件

这里查看下home、tmp文件看看是否存在flag

直接cat /home/flag.txt

12.simple_js

随便输，这里查看了源代码。

发现这里是16进制的编码，去bejson解码
然后得到一串数字55,56,54,79,115,69,114,116,107,49,50
转换ASCII码，再根据提示进行组合flag

flag：cyberpeace{786OsErtk12}

ctfhub的题也刷了，有时间会更新，下步将练习web进阶区的题。