CTF--攻防世界Web新手训练1-6

1. view_source

2. robots

3.backup

4.cookie

5.disabled_button

6.weak_auth

---

1.view_source

题目：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。

进入题目场景，点击F12，查看代码，flag就在代码里

cyberpeace{f567608e54634d5a78afe68441b92035}

---

2.robots

题目：X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。

点到题目场景里去，页面是空白的，因为题目说的是robots协议，Robots协议（也称为爬虫协议、机器人协议等）的全称是“网络爬虫排除标准”（Robots Exclusion Protocol），网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。

页面中显示f1ag_1s_h3re.php这个页面不允许被爬取，那么我们就直接在地址栏里加上/f1ag_1s_h3re.php

页面的字符串就是该题的flag

cyberpeace{fbd29075851c49154250ee238a7f873b}

---

3.backup

题目：X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！

进入题目，因为备份文件的后缀名是.bak的，所以index.php的备份文件就是index.php.bak,在地址栏的后面加上即可,下载好index.php.bak之后使用notepad++打开

图片中画线部分就是要求提交的flag

cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

---

4.cookie

题目：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？’

进入题目场景，开启浏览器代理，使用抓包工具burpsuite，将代理设置到和浏览器代理一样，将intercept设置为on，刷新浏览器页面，burpsuite中出现如下页面，看到cookie中内容为cookie.php

回到浏览器页面，在URL中加上cookie.php，页面会刷新如下

然后回到burpsuite，查看响应，flag如下

cyberpeace{f70149f56c35f5368b150d5e6226ebb8}

---

5.disabled_button

题目：X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？

进入题目场景，点击F12，查看代码，将disabled改为able

将disabled改为able之后，flag就出现了

flag如下

cyberpeace{bbe231da69f9783878489f5e792ee33c}

---

6.weak_auth

题目：小宁写了一个登陆验证页面，随手就设了一个密码。

进入题目场景，需要我们登录

随便输入一个用户名和密码，页面提示要以admin用户登录

以admin账户登录，随便输入一个密码，页面提示错误

然后我们开启抓包软件burpsuite，再次输入admin账户和密码，将抓到的页面

然后我们开启抓包软件burpsuite，再次输入admin账户和密码，在抓到的信息上右键，点击Send to Intruder，然后来到下图页面

然后将admin两边的符号去掉，如上图所示；然后切换到Payloads中，将数据字典载入到Payloads Options中（可以从网上下载，或者和我一样从网上复制过来）

点击页面右侧start attack 进行爆破，会出现下图信息，找到长度不一样的密码，这个密码就是正确的密码

在登陆页面输入正确的账号和密码，我们就可以得到flag啦

flag如下：

cyberpeace{78347d82f120c045b3a49f51454d52f5}