摘要： 题目地址：https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5064 php的备份有两种：*.php~和*.php.bak 如果网站存在备份文件，在地址栏最末加上/index.php~或/index.php.ba 阅读全文

摘要： 来自攻防世界 robots [原理] robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所 阅读全文

摘要： 首先打开网站会发现 然后照常看一下后台 发现后台有一串用base64加密密码然后使用base64解密后发现是test123 猜测一下这个是密码 然后用admin当作用户名用test123当作密码进行登录 然后会发现是这个 IP禁止访问 说明需要伪造一个IP地址 所以使用抓包工具bp进行抓包 然后 伪 阅读全文

摘要： 打开网页 使用bp抓包 看橙色部分然后发现是base64加密 然后解密 得出答案 然后提交 阅读全文

摘要： 首先进入网页会看到一个网页 然后用bp进行爆破 首先点击clear 然后选中刚下随便输入进去的密码点击add然后设置一下类型 然后进行开始攻击 攻击过程中点击length 根据长度可以判断出密码然后回到网页输入密码 得到flag 阅读全文

摘要： 先查看题目发现页面是这一个 然后打开后台F12 发现后台什么也没有 然后使用抓包burpsuit 然后发现答案就在其中 （首先右键转到repeater然后点击go) 阅读全文

摘要： 首先打开链接会发现一个不断刷新的网页 然后使用抓包工具burpsuit抓网页 然后右键点击跳转到repeater 然后点击go一直点击 注意黄色区域的变化然后在点击过程中会发现flag 然后拿到答案 阅读全文

摘要： 首先看一下题目发现进入网页之后是这个样的 然后点击一下发现是有变化 然后用F12 然后选择post data 然后输入clicks=1000000 然后就会发现答案 （clicks 是点击的意思） 阅读全文

摘要： 首先进入网站http://123.206.87.240:8002/web5/index.php 进入之后就会看到 然后点击F12就会打开后台 然后就会发现有一串东西就是这个然后经过搜索是jsfuck 然后找一下什么是jsfuck（ https://blog.csdn.net/qq_36539075/ 阅读全文

摘要： 首先打开网址链接会发现一串代码 然后进行分析代码的意思首先是一个函数查一下这个函数 然后会发现现代码第一句写的是输入数字，然后会发现第二行有一个感叹号意思是输入的如果不是数字则回复数字 如果输入数字则会出现flag 先试一下根据get函数 输入的不是数字 会发现没有结果 然后尝试一下数字发现也不行 阅读全文