Web解入门题目思路------(1~7)

一、X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

Web解入门题目思路------(1~7)_第1张图片
方法一:按下F12键直接查看:
Web解入门题目思路------(1~7)_第2张图片
方法二:通过Burp Suite Community Edition抓包,之后sent to repeater,在repeater中send查看
Web解入门题目思路------(1~7)_第3张图片
Web解入门题目思路------(1~7)_第4张图片

二、X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

Web解入门题目思路------(1~7)_第5张图片
题目提醒robots文件,要知道:
**robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
**
按提示进入:
Web解入门题目思路------(1~7)_第6张图片
再按提示输入:
Web解入门题目思路------(1~7)_第7张图片

三、X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!

Web解入门题目思路------(1~7)_第8张图片
按提示知:
常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history
方法一:手动尝试发现后缀是.bak:
Web解入门题目思路------(1~7)_第9张图片
用笔记本打开可发现:
Web解入门题目思路------(1~7)_第10张图片
方法二:
使用dirsearch目录扫描工具,具体下载使用方法:
dirsearch工具
在这里插入图片描述
运行后可发现含有.bak文件:
Web解入门题目思路------(1~7)_第11张图片

四、X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?’

Web解入门题目思路------(1~7)_第12张图片
第一次抓包:
Web解入门题目思路------(1~7)_第13张图片
发现cookie.php文件,之后网页上输入:
在这里插入图片描述
再次抓包:
在这里插入图片描述
发现flag

五、X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

Web解入门题目思路------(1~7)_第14张图片
按F12,发现代码中有一段:
在这里插入图片描述
双击删除disabled,既可以点击按钮得到密钥:
在这里插入图片描述
Web解入门题目思路------(1~7)_第15张图片

六、小宁写了一个登陆验证页面,随手就设了一个密码。

Web解入门题目思路------(1~7)_第16张图片
按下F12发现什么都没有:
Web解入门题目思路------(1~7)_第17张图片
之后再直接点击login会出现空白页,此时源码发生变化:
Web解入门题目思路------(1~7)_第18张图片
按照提示缺少dictionary,则在输入用户名为admin(默认用户名),重新输入错误的密码时抓包,之后send to intruder:
Web解入门题目思路------(1~7)_第19张图片
打开intruder–>payloads—>load,加载爆破密码文件(网页上可以下载):
Web解入门题目思路------(1~7)_第20张图片
之后回到positions界面,在最右边clean所有标记点之后针对password处add,然后start attack:
Web解入门题目思路------(1~7)_第21张图片
再爆破时发现长度不一样的(即这里是437),则是登录密码
Web解入门题目思路------(1~7)_第22张图片

七、小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

Web解入门题目思路------(1~7)_第23张图片
也就是说这题看代码可以知道要输入a,b变量,输入时注意在网页后加“/?”即可开始赋值。
对于a=0且为真,但a=0时为false,最后知道在a为str类型时的0符合条件:
Web解入门题目思路------(1~7)_第24张图片
出现了一半,再看b的值,is_numeric要求b不为数字,且b要大于1234,此时由于PHP代码弱类型的特性,所有可以让b等于一个大于1234的数字,再在后面随便加点字母变成str类型:
Web解入门题目思路------(1~7)_第25张图片

你可能感兴趣的:(CTF-----Web自学日志,web,php)