此文转载自:https://blog.csdn.net/weixin_50998641/article/details/110247848#commentBox
第一题view_source
鼠标无法查看网页源代码,可以利用F12来查看,flag就在网页源码中。
第二题robots
根据题目提示robots,此题考查robots协议,robots协议也叫robots.txt,存放于网站根目录,当打开
题目网站时为一片空白,需在网址后添加/robots.txt后得到一串字符,
将得到的字符f1ag_1s_h3re.php
替换robots.txt即可得到flag。
第三题backup
点开题目网址会看到“你知道index.php的备份文件名吗?”,所以可以知道这是一个php文件,在网址后加上
/index.php(/必须添加,否则会直接跳转),回车发现页面没有变化,联合题目“备份”可得这是备份文件,有
文件拓展名,百度可得常见的备份文件后缀名有git.svn.swp.~.bak.bash_history,逐个尝试,开始会提示NOT
Found,
到bak时,浏览器会自动下载一个文件,用记事本打开,flag就在里面。
第四题Cookie
点开网址,“你知道什么是cookie吗”,嗯,不知道,百度后知道cookie为储存在用户本地终端的数据,不知道
干嘛的,但大致知道这题需要按f12(此处我要吐槽一下Microsoft Edge,按了F12全英文…所以我换用了火狐),
找cookie,找到后它提示输入cookie.php,
输入后得到“See the http response”,按F12在控制台查看http响应
成功得到flat。
第五题disabled_button
打开网址,会发现一个很皮的提示:“一个不能按的按钮”,
查看网页源代码,百度后发现,因为flag按钮设置了
disabled属性(html中的disabled属性规定应该禁用input元素,禁用后的input元素既不可用,也不可点击),
导致其无法被点击,删去disabled=""后发现flag按钮可以点击,点击后获得flag。
第六题weak_auth
本题为弱密码认证,随便输入尝试,
发现系统提示输入用户名应为admin,输入用户名后,再次尝试,提示不同,
利用burp爆破,得到密码为123456,获得flag。
