XCTF 攻防世界刷题

XCTF 刷题 writeup

Web 方向

1. view_source

【题目描述】X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

【题目解析】从题目我们了解到小宁想要查看源代码,但是无法从右键里面点击查看页面源代码,可以感觉到想要的 flag 就在这个源代码里面,除了右键点击查看页面源代码还可以 F12 在查看器里面看到页面的源代码。flag 在源码中。

【解题过程】

  1. 在题目页面点击获取在线场景,访问场景网址。
  2. 进入场景页面。页面显示”FLAG is not here”,根据题目描述,F12 查看源码。
  3. 成功获得 flag

2. robots

【题目描述】X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

【题目解析】robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。

【解题过程】

  1. 在题目页面点击获取在线场景,访问场景网址。
  2. 给出的场景网址为空。根据题目描述,直接访问 场景网址/robots.txt,获得下列内容。

    User-agent: *
    Disallow:
    Disallow: f1ag_1s_h3re.php

  3. 根据获得的内容提示,访问 场景网址/f1ag_1s_h3re.php,获得 flag。