10.20攻防世界web基础题目
攻防世界web基础题目
- robots
这个我熟悉,招新赛第一道web就试过哈哈哈,主要考察robots.txt(一种常见协议)加入后缀robots.txt得到如下
于是,重新将后缀加上php那串东东得flag
- index.php
上来就问我知不知道index.php的备份文件名称
我肯定不知道啊
开始百度
得知其备份文件为bak
于是直接加上后缀index.php.bak
会开始下载到备份文件得到flag
3-cookie
查源码得知有cookie.php这个玩意儿
第一次抓包,forward后加后缀在抓一次
查看response得到flag
具体如图
4-post、get
先让get提交一个值a=1,
于是加后缀?a=1
爆出来下面的
于是,万能的hackbar可以用了,当然bp也可以,但我觉得hackbar方便点
5-xff_referer
X老师告诉小宁其实xff和referer是可以伪造的,进题,让伪造一波ip于是用bp即可
x-f-f指令改ip为123.123.123.123
如下图
得到如上,根据题目,继续改referer即可(且记仍然要加xff)
Flag就爆出来了
本文来自博客园,作者:wysng,转载请注明原文链接:https://www.cnblogs.com/wysngblogs/p/15435121.html

本作品采用知识共享署名-相同方式共享 4.0 国际许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 单线程的Redis速度为什么快?
· 展开说说关于C#中ORM框架的用法!
· Pantheons:用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
· 为什么 退出登录 或 修改密码 无法使 token 失效