论攻防世界CTF题目(2)
上次我们讲了misc的题,今天来讲讲web的题,你们猜今天讲几题?
第一题
emm,这个感觉跟昨天的F12相似啊,获取在线场景
对这种直接f12寻找flag
OK,下一题
第二题
你们知道robots协议是什么吗
比如说,一个搜索蜘蛛访问一个网站时,它第一个首先检查的文件就是该网站的根目录里有没有robots.txt文件。 如果有,蜘蛛就会按照该文件中的条件代码来确定能访问什么页面或内容;如果没有协议文件的不存在,所有的搜索蜘蛛将能够访问网站上所有没有被协议限制的内容页面。 而百度官方上的建议是:仅当您的网站包含不希望被搜索引擎收录的内容时,才需要使用robots.txt文件进行屏蔽。而如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。
所以在渗透测试时可以先看看robots.txt里的东西,有时候phpmyadmin,phpinfo,admin这种都能在robots里找到
嗯,来看看
一览无余,直接在网址后接上robots.txt
这里有个页面是.php的,有可能是个flag存在的网页
接上
得到flag
这次先讲这么多吧,两题,下次继续讲web的题,可自行延伸啦