CTF攻防世界web-新手区解题过程及使用工具

CTF攻防世界web-新手区解题思路总结及使用工具

• 做为一个新手小白，若是文章中有什么不错误或者不解的地方，还望谅解。（写了多少就更新多少啦）
• 第一题：X老师让小宁同窗查看一个网页的源代码，但小宁同窗发现鼠标右键好像无论用了。
• 第二题：X老师告诉小宁同窗HTTP一般使用两种请求方法，你知道是哪两种吗？
• 第三题：X老师上课讲了Robots协议，小宁同窗却上课打了瞌睡，赶忙来教教小宁Robots协议是什么吧。
• 第四题：X老师忘记删除备份文件，他派小宁同窗去把备份文件找出来,一块儿来帮小宁同窗吧！
• 第五题：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗’

做为一个新手小白，若是文章中有什么不错误或者不解的地方，还望谅解。（写了多少就更新多少啦）

（此博客是本身作题时的过程，中间有查找相关的资料以及大佬们的博客连接）

点击图中方框进行加载，若加载不出来网址，刷新或将电脑重启。

第一题：X老师让小宁同窗查看一个网页的源代码，但小宁同窗发现鼠标右键好像无论用了。

观察题目：①查看网页源代码 ②鼠标右键禁止使用
解题思路：查看网页源代码的方法有两种：鼠标右键或键盘中的f12（或fn+f12）
题目中已经说明鼠标用不了，因此直接使用键盘打开源代码便可。
具体操做：

点击跳转网页，按f12直接打开源代码便可获得flag

第二题：X老师告诉小宁同窗HTTP一般使用两种请求方法，你知道是哪两种吗？

观察题目：HTTP的两种经常使用请求方法
解题思路：对HTTP进行大体的了解，在 解题中经常使用的为GET和POST这两个请求方法
解题工具：火狐浏览器：MaxHackbar（火狐插件，直接在火狐浏览器上搜索）

具体操做：第一步：安装插件，点击 添加到Firefox便可

第二步：①点击转跳网页

网页内容（直接说明用GET方式,，GET方通常为在url后拼接参数，只能以文本的方式传递参数。）
“统一资源定位符（URL）是Internet上标准资源的地址。URL指示资源的位置以及用于访问它的协议。互联网上的每一个文件都有一个惟一的URL，它包含的信息指出文件的具体位置。”

②所以直接在http://220.249.52.133:34941/后进行拼接，根据提示加入 ?a=1
http://220.249.52.133:34941/?a=1(这里使用英文的问号？）

③根据提示再用POST法，用鼠标右键或f12打开以下图所示，这里出现了已经安装好的MaxHackbar，点击直接使用
1）在第一个方框内，将修改后的url复制粘贴
2）勾选Post Data，跳出第二个方框
3）在第二个方框中填入给出的信息：b=2
4）点击左边第三个框框，Execution,获得flag

第三题：X老师上课讲了Robots协议，小宁同窗却上课打了瞌睡，赶忙来教教小宁Robots协议是什么吧。

观察题目：Robots协议
解题思路：对Robots协议进行大体的了解https://www.cnblogs.com/sddai/p/6820415.html
具体操做： robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。首先检查该站点根目录下是否存在robots.txt
1）观察url，发现没有robots.txt。直接进行添加
2)f1ag_1s_h3re.php这个页面不容许被爬取，将url中的robots.txt删掉，加入f1ag_1s_h3re.php
获得flag

第四题：X老师忘记删除备份文件，他派小宁同窗去把备份文件找出来,一块儿来帮小宁同窗吧！

观察题目：备份文件
解题思路：常见的备份文件后缀名有: .git .svn .swp .~ .bak .bash_history
（备份文件名格式一般为文件+.bak）
具体操做：
①点击跳转网页，获得问题，可得文件为index.php，则文件名为index.php.bak

② 1)在url中添加index.php.bak，回车

2)点击浏览，在里面选择使用工具（记事本便可）

3）在记事本中找出flag

第五题：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗’