攻防世界XCTF-WEB入门12题解题报告

本文主要是介绍攻防世界XCTF-WEB入门12题解题报告，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

WEB入门题比较适合信息安全专业大一学生，难度低上手快，套路基本都一样

需要掌握：

• 基本的PHP、Python、JS语法
• 基本的代理BurpSuite使用
• 基本的HTTP请求交互过程
• 基本的安全知识（Owasp top10）

先人一步，掌握WEB安全入门诀窍，相信我，你不会后悔滴～

第一题：考察浏览器控制台的查看

解题报告：

右键不管用，那就打开控制台咯～

提交flag：cyberpeace{2d7647b131421b597501c7e63ddaa879}

第二题：考察网站robots页面的查看

解题报告：

进入robots.txt找到了线索

顺着线索找到了flag：cyberpeace{3b9d4fcca0aaba7f46f09e6403019a80}

第三题：考察备份文件名的后缀

解题报告：

index.php加个bak不就是备份文件嘛，自动下载了

从文件中找到了flag：Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

第四题：考察HTTP请求和应答报文

解题报告：

从控制台可以看到cookie中的值为cookie.php，访问这个页面就是咯

从HTTP的应答头里面找到flag：cyberpeace{46907c4246480ad4f5b356e1e2f1817a}

第五题：考察在线编辑页面能力

解题报告：

查看源代码，发现有个disable字段，把它改成able不就可以了嘛

浏览器右键选择，检查，就可以在线修改啦

现在按下这个按钮就可以得到flag：cyberpeace{6ac76b64319ed77f47fe1479f6e25c6f}

第六题：考察弱口令

解题报告：

弱口令我试了2次，第一次试了admin admin错了，第二次试了admin 123456对了，直接就拿到flag：cyberpeace{286d648347709bbd11ac479ee0a75f2b}

第七题：考察PHP类型比较

解题报告：

• 要求a等于0，并且a是true，那么a可以是字符串：“ailx10”
• 要求b不是数字，并且b大于1234，数字后面加空格就可以了

构造一个合理的请求就拿到flag：Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}

第八题：考察GET请求和POST请求

解题报告：

代理走起来，修改GET为POST，添加一个body，key是b，value是2即可

走你，拿到flag：cyberpeace{c6d40b542f6325b7330e9cbc9f094dbd}

第九题：考察代理修改请求头的字段

解题报告：

• 添加X-Forwarded-For字段
• 添加Referer字段

拿到flag：cyberpeace{4079533fd7bdb1611a30d037f70983bc}

第十题：考察一句话木马的利用

解题报告：

在index.php的页面下，通过POST请求一个shell字段，值为system("ls");，试图看看当前页面下有哪些文件，找到了flag.txt

访问这个文件，拿到flag：cyberpeace{cccd7f5bd0cf3b90460309eaf001d1ea}

第十一题：考察命令注入

解题报告：

试了一下几个命令，127.0.0.1;ls /home ，在这个里面发现了线索

打印这个文件127.0.0.1;cat /home/flag.txt ，拿到flag：cyberpeace{0b95886087d98c05d0773266fde8b347}

第十二题：考察JS代码审计

解题报告：

这题是真的坑，浪费时间的东西，这也太无聊了。

这个dechiffre()函数不管输入什么结果都是一样的，也就是说这是个干扰项，那密码还能在哪呢？下面一串16进制编码。

\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30

第一步：将16进制转为10进制数字

b="\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"print(bytes(b).decode('ascii'))#输出：55,56,54,79,115,69,114,116,107,49,50

第二步：ascii码数字转字符串

b="55,56,54,79,115,69,114,116,107,49,50"
b=b.split(",")
passwd=""
for bb in b:passwd += chr(int(bb))
print(passwd)
#输出：786OsErtk12

于是得到flag：cyberpeace{786OsErtk12}

至此，CTF-WEB入门题通过了～

---

网络安全基础入门需要学习哪些知识？

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

阶段一：基础入门

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

这篇关于攻防世界XCTF-WEB入门12题解题报告的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---