HEAVEN569的博客

题目描述：小宁发现了一个网页，但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )打开网址，就一个密码输入框，啥都没有，尝试随便输入一个密码，报错。ctrl+U 查看源代码<html><head> <title>JS</title> <script type="text/javascript"> function dechiffre(pass_enc){ ......

题目描述：小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的，你知道为什么吗。command_execution： 命令执行。。。。漏洞windows或linux下命令执行command1 & command2 ：不管command1执行成功与否，都会执行command2（将上一个命令的输出作为下一个命令的输入），也就是command1和command2都执行command1 && command2 ：先执行command1执行成功...

题目描述：X老师告诉小宁其实xff和referer是可以伪造的。XFF(X-Forworded-For):是http请求头中的一个参数，是用来识别通过HTTP代理或者负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段代表了HTTP的请求端真是的ip。格式为:X-Forworded-For:ip 例如:X-Forworded-For: 10.10.10.10referer:是HTTP头的一个字段，用来表示从哪儿链接到当前的页面，即表明来源URL地址。采用的格式是UR..

题目描述：X老师告诉小宁同学HTTP通常使用两种请求方法，你知道是哪两种吗？HTTP有八种请求方式: GET,POST,HEAD,OPTIONS,DELETE,TRACE和CONNECT当然最常用的就是题目显示的这两种：GET,POST解：使用的软件和插件: firefox 和 里面的hackbar插件鼠标右键--检查元素 或者直接按F12 打开检查页面根据提示首先输入使用GET方式提交一个a=1变量 http://111.200.241.244:56459/?a=1...

题目描述：小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。题目虽然是不难，我们做题的目的是为了总结知识点。下面的php弱类型比较的知识点都是多位大佬总结的，真香。php有两种比较的符号 == 与====== :在进行比较的时候，会判断两种字符串的类型是否相等，再比较。== :在进行比较的时候，会先将字符串类型转成相同，在进行比较==如果比较一个数字和字符串，或者比较涉及到数字内容的字符串，则字符串会被转换成数值，并且比较的方式会按照数值进行。代码示例...

题目描述：小宁写了一个登陆验证页面，随手就设了一个密码。weak_auth:弱认证，就是弱密码，可以通过爆破方式得到密码1.随便输入一个账号和一个密码2.发现提示账号是admin，密码不知道，可以通过爆破得到。 所以只需要爆破密码，不需要爆破账号，简单很多3.开启代理抓包，使用burp suit爆破，发送到爆破模块(send to intruder)4.进入intruder模块，只添加一个爆破点，就是密码的位置5.添加密码字典在里面，最后开...

题目描述：X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？这题没什么好说的，直接改一下前端的代码就可以按那个flag按钮了鼠标右键--检查 或者 直接键盘按F12查看前端代码找flag按钮的代码区将里面的disable改为abled，再点击一下页面的flag。就可以得到flagcyberpeace{1db8266a76b014b7082d52419687cd74}声明：本文仅限于大家技术...

题目描述：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？cookie:曲奇饼 ....当然在网页中不是这个意思啦我们一般可以在http头中查看到cookie所以我们可以使用鼠标右键-->检查，或者在键盘直接按F12 查看他说查看一下cookie.php，我们就访问一下咯 :http://111.200.241.244:45817/cookie.php打开以后发现提升：See the http response 让我们查看一下h...

题目描述：X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！根据题目的要求，找到index.php的备份文件，flag应该就在里面而一般的备份文件是以bak结尾的，index.php备份文件则可能为index.php.bak访问：http://111.200.241.244:34981/index.php.bak得到一个文件，把文件下载下来，成功得到flag，flag="Cyberpeace{855A1C4B3401294CB6604CCC98BDE3...

题目描述：X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。robots协议也叫robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的漫游器获取的，哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的，所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。注意：写爬虫爬取网站的信息的时候...

view_source：查看源代码题目描述：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。查看源代码的方式:1.鼠标右键-->查看源代码2.键盘:F123.键盘：shift+ctrl+c 4.在url中通过view-source: 的方法来访问源代码，访问：view-source:http://111.200.241.244:30131/5.可以使用burp suit抓包查看源代码声明：本文仅限于大家技术交流和学...