上次我们讲了misc的题，今天来讲讲web的题，你们猜今天讲几题？

第一题

emm，这个感觉跟昨天的F12相似啊，获取在线场景

对这种直接f12寻找flag

OK，下一题

第二题

你们知道robots协议是什么吗

比如说，一个搜索蜘蛛访问一个网站时，它第一个首先检查的文件就是该网站的根目录里有没有robots.txt文件。
如果有，蜘蛛就会按照该文件中的条件代码来确定能访问什么页面或内容；如果没有协议文件的不存在，所有的搜索蜘蛛将能够访问网站上所有没有被协议限制的内容页面。
而百度官方上的建议是：仅当您的网站包含不希望被搜索引擎收录的内容时，才需要使用robots.txt文件进行屏蔽。而如果您希望搜索引擎收录网站上所有内容，请勿建立robots.txt文件。

所以在渗透测试时可以先看看robots.txt里的东西，有时候phpmyadmin，phpinfo，admin这种都能在robots里找到

嗯，来看看

一览无余，直接在网址后接上robots.txt

这里有个页面是.php的，有可能是个flag存在的网页

接上

得到flag

这次先讲这么多吧，两题，下次继续讲web的题，可自行延伸啦