【和小白一起练习CTF】攻防世界：web基础练习题(1)

1.Training-WWW-Robots

题目链接：点击这里(第一次点击需要登录之后才能看到)
题解：这道题目是要我们了解一下robots.txt这个东西，在了解之后就可以轻松解决这道题目，下面先介绍一下。

robots.txt文档记录了不应该被搜索引擎的漫游器获取的东西 ，它一般放在根目录下，搜索引擎搜索这个网站时，首先访问这个robots.txt，如果它存在，那就按照它上面写的，不允许访问的页面就不访问，如果它不存在，那搜索引擎就可以查阅所有没有口令保护的页面。

知道了这个之后，我们在初始的url后面加个/robots.txt就可以访问根目录下的这个文件。

访问之后发现，不允许访问的是//f10g.php，虽然这么做不太好，但是只要在原先的url后面加上这个就可以得到flag了。

2.view_source

题目链接：点击这里(第一次点击需要登录之后才能看到)

题解：首先这道题目说无法使用鼠标右键，也就意味着没办法通过右键的方式查看网页源代码，那就只能通过F12查看源代码啰，如下所示。

3.get_post

题目链接：点击这里(第一次点击需要登录之后才能看到)

题解：因为我是在谷歌浏览器下做的，所以需要用到一个插件叫HackBar，安装方法点击这里。

这道题目考察GET和POST两种方法，GET 用于从指定资源请求数据，POST 用于将数据发送到服务器来创建/更新资源，详见点击这里。

了解了这些之后，在浏览器页面按下F12，我们利用插件HackBar，首先以GET方式提交一个变量。

再以POST方式提交一个变量，得到flag。

4.robots

题目链接：点击这里(第一次点击需要登录之后才能看到)

题解：在第一题了解过robots.txt之后，首先直接访问url+/robots.txt即可，查看不能访问的页面。

访问这个.php即可。

5.backup

题目链接：点击这里(第一次点击需要登录之后才能看到)

题解：这道题目是要我们了解一下网页的备份文件，在了解之后就可以轻松解决这道题目，下面先介绍一下。

在网站的升级和维护过程中，通常需要对网站中的文件进行修改，此时就需要对网站整站或者其中某一页面进行备份，当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下，而该目录又没有设置访问权限时，便有可能导致备份文件或者编辑器的缓存文件被下载，导致敏感信息泄露，给服务器的安全埋下隐患。

该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载或者利用，源代码中所包含的各类敏感信息，如服务器数据库连接信息，服务器配置信息等会因此而泄露，造成巨大的损失，被泄露的源代码还可能会被用于代码审计，进一步利用而对整个系统的安全埋下隐患。

常见的后缀名有.rar .zip .7z .tar.gz .bak .swp .txt .sql。

下面开始做题，点开之后发现，网页问我们你知道index.php的备份文件名吗？

然后我们用后台程序扫描一下，发现有一个备份文件index.php.bak。

然后我们直接把这个url复制到网页中，即可下载这个文件，并修改后缀名为.php。

打开该文件，即可找到flag。

6.cookie

题目链接：点击这里(第一次点击需要登录之后才能看到)

题解：打开网页后，先刷新一下，然后按下F12，查看network里面的消息头，发现set-cookie。

在url后加上cookie.php进行访问，重复上述步骤，找到flag。

7.disabled_button

题目链接：点击这里(第一次点击需要登录之后才能看到)

题解：打开网页之后，发现有个按钮，但是点击不了，这时按下F12，打开开发者工具，修改网页源代码，去掉disabled，按钮就可以点击了，这时就出现了flag。