XCTF 刷题 writeup
Web 方向
1. view_source
【题目描述】X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
【题目解析】从题目我们了解到小宁想要查看源代码,但是无法从右键里面点击查看页面源代码,可以感觉到想要的 flag 就在这个源代码里面,除了右键点击查看页面源代码还可以 F12 在查看器里面看到页面的源代码。flag 在源码中。
【解题过程】
- 在题目页面点击获取在线场景,访问场景网址。
- 进入场景页面。页面显示”FLAG is not here”,根据题目描述,F12 查看源码。
- 成功获得 flag
2. robots
【题目描述】X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。
【题目解析】robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
【解题过程】
- 在题目页面点击获取在线场景,访问场景网址。
- 给出的场景网址为空。根据题目描述,直接访问
场景网址/robots.txt,获得下列内容。User-agent: *
Disallow:
Disallow: f1ag_1s_h3re.php - 根据获得的内容提示,访问
场景网址/f1ag_1s_h3re.php,获得 flag。
