10.20攻防世界web基础题目

攻防世界web基础题目

1. robots

这个我熟悉，招新赛第一道web就试过哈哈哈，主要考察robots.txt（一种常见协议）加入后缀robots.txt得到如下

于是，重新将后缀加上php那串东东得flag

1. index.php

上来就问我知不知道index.php的备份文件名称

我肯定不知道啊

开始百度

得知其备份文件为bak

于是直接加上后缀index.php.bak

会开始下载到备份文件得到flag

 

3-cookie

查源码得知有cookie.php这个玩意儿

第一次抓包，forward后加后缀在抓一次

查看response得到flag

具体如图

 

 

 

4-post、get

先让get提交一个值a=1，

于是加后缀？a=1

爆出来下面的

于是，万能的hackbar可以用了，当然bp也可以，但我觉得hackbar方便点

 

5-xff_referer

X老师告诉小宁其实xff和referer是可以伪造的，进题，让伪造一波ip于是用bp即可

x-f-f指令改ip为123.123.123.123

如下图

得到如上，根据题目，继续改referer即可（且记仍然要加xff）

Flag就爆出来了