XCTF-web的writeup(1--4)

Posted 2022-12-05 helloctf

1.view source

 

 

考点：view source 协议。该协议用于查看页面的源代码。早期基本上每个浏览器都支持这个协议。后来Microsoft考虑安全性，对于WindowsXP pack2以及更高版本以后IE就不再支持此协议。但是这个方法在FireFox和Chrome浏览器都还可以使用。 如果要在IE下查看源代码,只能使用查看中的"查看源代码"命令.

 

使用方法：1、在浏览器地址栏里输入：view souce:url

 

　　　　　2、javascirpt用法：Window.location="view source:"+window.location

过程：我们在题目给出的地址前添加view source,即view-source:http://111.198.29.45:51218/即可得到flag

另一种方法：查看器查看页面源代码

知识盲区：为什么Microsoft不支持view-source协议。

2、get_post

 

 

 考点：http中get和post两种提交方法。在客户机-服务器模式中最常用到两种提交方式，get从指定的资源中请求数据，post向指定的资源提交需要处理的数据，具体的知识点参见w3school.  友情链接：https://www.w3school.com.cn/tags/html_ref_httpmethods.asp

过程：1、查看题目给出的地址。

 

 2、这里我们需要了解get提交的方式  -----> 网址?参数名=值&参数名=值,更为详细的知识参见https://zhidao.baidu.com/question/589265587.html

 

 

 

 3、按照get的提交方式提交之后有提示需要使用Post的方法提交。post不同于get方法，为保证数据的私密性无法直接在地址栏填写参数，这里需要用到firefox的扩展插件hackbar

 

 4、输入参数之后点击run 即可得到flag

 

 知识盲区：1、get和post的区别。2、插件hackbar的使用。3、http协议

3、robots

 

 

考点：爬虫协议（robots协议）是网站和搜索引擎之间的协议，用来防止搜索引擎爬取那些不想被索引的页面或内容。禁止爬取的内容都被写在了robots.txt里面,robots.txt文件也是搜索引擎访问的第一个文件，更为详细的知识参见：https://www.xuewangzhan.net/zichu/483.html

过程：1、访问robots.txt文件

 

 

 2、我们看到disallow里面有个php文件，在robots.txt文件里disallow代表着不能被爬取得内容，我们访问这个PHP文件。

 

 知识盲区：1、什么是robots协议、2、robots协议的写法与属性。3、爬虫的基本知识

4、backup

 

 

考点：常见的文件扩展名。

过程：1、输入题目给出的地址。

 

 2、按照我们常见的备份方法输入111.198.29.45:48995/index.php.bak,得到一份文件，打开得到flag

 

知识盲区：1、文件扩展名。