CTF入门学习(Web方向)

边刷题 边学习 边总结

1.Robots协议

“Robots协议”的英文全称为Robots Exclusion Protocol,直译为机器人排除协议,又可称为爬虫协议、机器人协议,是指网站所有者通过一个置于网站根目录下的文本文件,即robots.txt,告知搜索引擎的网络机器人(或称网络爬虫、网络蜘蛛)哪些网页不应被抓取,哪些网页可以抓取,其本质上是受访网站与搜索引擎之间的一种交互方式。

robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统安装了Notepad,就可以创建和编辑它 [1] 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。

当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。百度官方建议,仅当您的网站包含不希望被搜索引擎收录的内容时,才需要使用robots.txt文件。如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。

如果将网站视为酒店里的一个房间,robots.txt就是主人在房间门口悬挂的“请勿打扰”或“欢迎打扫”的提示牌。这个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪些房间因为存放贵重物品,或可能涉及住户及访客的隐私而不对搜索引擎开放。但robots.txt不是命令,也不是防火墙,如同守门人无法阻止窃贼等恶意闯入者。

以下为该协议的简单应用:
关于Robots协议的题目
CTF入门学习(Web方向)_第1张图片
访问题目场景下robots.txt文件可以看到flag路径位置,
再访问题目场景路径下flag_ls_h3re.php得到flag。
CTF入门学习(Web方向)_第2张图片

2.备份文件

在这里插入图片描述
CTF入门学习(Web方向)_第3张图片
常用的 备份文件 的后缀有“.git” 、“.svn”、“.swp”、“.~”、“.bak”、“.bash_history”、“.bkf” 等。 在输入 index. php.bak后下载了该文件。
在这里插入图片描述
下载备份文件后,将"bak"格式改为"txt"文本格式可以看到脚本代码信息,其中包含flag
CTF入门学习(Web方向)_第4张图片

3.夹心饼干(cookie)

Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可以帮助我们实现记录用户个人信息的功能, 而这一切都不必使用复杂的CGI等程序。

举例来说, 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 Web 站点的信息。在这里的每个 Cookie 文件都是一个简单而又普通的文本文件。透过文件名, 就可以看到是哪个 Web 站点在机器上放置了Cookie(当然站点信息在文件里也有保存)

以下是cookie协议的简单学习应用
在这里插入图片描述
CTF入门学习(Web方向)_第5张图片
F12查看Cookie信息可以看到题目给的提示“look-here”值cookie.php脚本文件在题目场景路径后加上cookie.php进入下一步。
CTF入门学习(Web方向)_第6张图片
下一步题目给的提示是“See the http response”。这里需要查看http的response信息,使用wireshark软件进行抓包。
CTF入门学习(Web方向)_第7张图片
题目提示是查看http协议的response字段信息,那么我们可以选择第二个http(第一个是request),双击点开后可以得到flag。
CTF入门学习(Web方向)_第8张图片

你可能感兴趣的:(学习,前端,搜索引擎,web安全,经验分享)