CTF-robots

最新推荐文章于 2024-10-25 19:35:20 发布
最新推荐文章于 2024-10-25 19:35:20 发布
阅读量2.9k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: CTF CTF练习题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45246254/article/details/111604973

链接http://rt.ichunqiu.com:7001/
访问链接显示一个图片
在这里插入图片描述

根据提示robot,访问robots.txt
在这里插入图片描述

访问/admin/3he11.php,可以在代码中看到flag
在这里插入图片描述

robots.txt是什么?

robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.txt,或者使用robots元数据(Metadata,又称元数据)。

文件用法

例1. 禁止所有搜索引擎访问网站的任何部分

User-agent: *
Disallow: /
实例分析:淘宝网的 Robots.txt文件
User-agent: Baiduspider
Disallow: /
User-agent: baiduspider
Disallow: /
很显然淘宝不允许百度的机器人访问其网站下其所有的目录。

例2. 允许所有的robot访问 (或者也可以建一个空文件 “/robots.txt” file)

User-agent: *
Allow: /

例3. 禁止某个搜索引擎的访问

User-agent: BadBot
Disallow: /

例4. 允许某个搜索引擎的访问

User-agent: Baiduspider
allow:/

例5.一个简单例子
在这个例子中,该网站有三个目录对搜索引擎的访问做了限制,即搜索引擎不会访问这三个目录。
需要注意的是对每一个目录必须分开声明,而不要写成 “Disallow: /cgi-bin/ /tmp/”。
User-agent:后的具有特殊的含义,代表“any robot”,所以在该文件中不能有“Disallow: /tmp/” or “Disallow:*.gif”这样的记录出现。

User-agent: *
Disallow: /cgi-bin/
Disallow: /tmp/
Disallow: /~joe/

Robot特殊参数:
允许 Googlebot:
如果您要拦截除Googlebot以外的所有漫游器不能访问您的网页,可以使用下列语法:

User-agent:
Disallow: /
User-agent: Googlebot
Disallow:

Googlebot 跟随指向它自己的行,而不是指向所有漫游器的行。
“Allow”扩展名:
Googlebot 可识别称为“Allow”的 robots.txt 标准扩展名。其他搜索引擎的漫游器可能无法识别此扩展名,因此请使用您感兴趣的其他搜索引擎进行查找。“Allow”行的作用原理完全与“Disallow”行一样。只需列出您要允许的目录或页面即可。
您也可以同时使用“Disallow”和“Allow”。例如,要拦截子目录中某个页面之外的其他所有页面,可以使用下列条目:

User-agent: Googlebot
Allow: /folder1/myfile.html
Disallow: /folder1/

这些条目将拦截 folder1 目录内除 myfile.html 之外的所有页面。
如果您要拦截 Googlebot 并允许 Google 的另一个漫游器(如 Googlebot-Mobile),可使用”Allow”规则允许该漫游器的访问。例如:

User-agent: Googlebot
Disallow: /
User-agent: Googlebot-Mobile
Allow:

使用 * 号匹配字符序列:
您可使用星号 () 来匹配字符序列。例如,要拦截对所有以 private 开头的子目录的访问,可使用下列条目: User-Agent: Googlebot
Disallow: /private/
要拦截对所有包含问号 (?) 的网址的访问,可使用下列条目:

User-agent: *
Disallow: /*?*

使用 $ 匹配网址的结束字符
您可使用 $字符指定与网址的结束字符进行匹配。例如,要拦截以 .asp 结尾的网址,可使用下列条目:

User-agent: Googlebot
Disallow: /*.asp$

您可将此模式匹配与 Allow 指令配合使用。例如,如果 ? 表示一个会话 ID,您可排除所有包含该 ID 的网址,确保 Googlebot 不会抓取重复的网页。但是,以 ? 结尾的网址可能是您要包含的网页版本。在此情况下,可对 robots.txt 文件进行如下设置:

User-agent: *
Allow: /*?$
Disallow: /*?
Disallow: / *?

一行将拦截包含 ? 的网址(具体而言,它将拦截所有以您的域名开头、后接任意字符串,然后是问号 (?),而后又是任意字符串的网址)。
Allow: /*?$ 一行将允许包含任何以 ? 结尾的网址(具体而言,它将允许包含所有以您的域名开头、后接任意字符串,然后是问号 (?),问号之后没有任何字符的网址)。
尽管robots.txt已经存在很多年了,但是各大搜索引擎对它的解读都有细微差别。Google与百度都分别在自己的站长工具中提供了robots工具。如果您编写了robots.txt文件,建议您在这两个工具中都进行测试,因为这两者的解析实现确实有细微差别 。

【网络安全 | CTF】攻防世界 robots 解题详析
等风来
05-20 6224
通常,网站管理员会在网站的根目录下放置一个名为robots.txt的文件,并使用该文件指定他们希望搜索引擎索引和不索引的页面。题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。robots.txt是一种文本文件,则指示搜索引擎不要抓取网站中包含在。被设置为禁止爬取,访问即可。指定所有搜索引擎爬虫,而。进入靶机,页面空白。文件夹中的任何内容。
【网络安全 | CTF】攻防世界 Training-WWW-Robots 解题详析
等风来
05-20 6452
在这个小训练挑战中,你将学习 Robots_exclusion_standard(机器人排除标准)。robots.txt 文件是由网络爬虫用来检查是否允许他们爬行和索引你的网站或仅部分内容。
CTF-Web入门-robots
qq_28383747的博客
11-04 1655
本题是一道Web方向的入门题目,重点在于理解robots协议相关知识。robots协议也称为爬虫协议、爬虫规则等,它会建立robots.txt文件来告诉搜索引擎哪些页面可以抓取,哪些不可以抓取。爬虫访问一个站点时,会首先检查站点的根目录下是否存在robots.txt文件。这也是为什么尝试在地址栏中输入/robots.txt的原因。
ctf-攻防世界-web:robots
一只菜鸟的博客
11-01 1962
提示robots协议,那么直接在靶机地址后加/robots.txt,访问看看 出现disallow,即不允许全体爬虫访问f1ag_1s_h3re.php,按照ctf“不让干啥偏干啥”的传统,那就去访问f1ag_1s_h3re.php看看,果然flag出现 另:关于robots.txt robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的...
【攻防世界CTF|web方向】第四题:robots
weixin_70825534的博客
08-02 797
2.关于robots协议的道德性:你看我们访问的f1ag_1s_h3re.php文件,它在robots.txt文件里面定义的是disallow,但是我们还是随随便便就进去了,这也说明robots协议是一种君子协议,没有强制性。但它说了flag is here诶,咱们高低得去Get一下看看,这样才能得到flag。在这个.txt文件里面规定了不让我们去访问f1ag_1s_h3re.php文件。我们去查一下robots协议到底是啥,在我们找到flag的路上至关重要。很好,没骗人,flag is here!
CTF知识库】robots.txt
国服可爱玩家的BLOG
06-13 837
CTF知识库】robots.txt。
【攻防世界CTF|web方向】第一题:Training-WWW-Robots
weixin_70825534的博客
07-24 745
如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。1.做题技巧层面:有时flag会出现一些相似的变形,比如这道题中的fl0g,不要忽视了。如果您希望搜索引擎收录网站上所有内容,请勿建立 robots.txt文件。3.尝试访问:本题目场景的网页下的robots.txt文件,得到如下界面。,如同守门人无法阻止窃贼等恶意闯入者,是一个类似于君子协议的文件。形式:在网站根目录下的robots.txt文件。的内容时,才需要使用。
JIS-CTF-VulnUpload-CTF01靶机渗透测试
weixin_52971422的博客
04-11 3750
靶机名:JIS-CTF-VulnUpload-CTF01 攻击机:kali 任务寻找5个flag 靶机信息扫描 Nmap -sV -A -p- ip 信息收集 发现有Robots协议 上网页 成功拿到第一个flag 上到/admin_area发现了第二个flag和网页用户 上到/login.php登录 登录上去后发现有个文件上传 直接上传一个shell.php上去看看 好像成功上传上去了,在前面robots.txt里有uploaded_files的
靶机渗透训练——JIS-CTF-VulnUpload-CTF01
z7sz的博客
06-22 633
这是一篇关于JIS-CTF-VulnUpload-CTF01靶机训练的文章
2021-RedHat-CTF-WP【WEB】
afei001
06-06 455
WEB 1.find_it:文件fuzz 代码审计 1.1 PHP代码分析 2.framework: Yii—CVE-2020-15148反序列化 2.1源码分析 3.WebsiteManger:布尔型盲注 4.easy cms for you WEB 1.find_it:文件fuzz 代码审计 拿到目标靶机,常规WEB渗透思路对目标进行信息搜集、端口探测、目录探测等等。目录探测在robots.txt文件中发现了信息。 告诉我们存在1ndexx.php,但是直接访...
uw-ctf:UW CTFrobots.txt挑战
05-09
超宽频 我为UW CTF的第一个危险样式CTF创建的robots.txt挑战在此处尝试挑战:
青少年CTF-Web-Robots
zxsctf的博客
10-08 1081
题目名称:Robots题目描述:昨天十三年社团讲课,讲了Robots.txt的作用,小刚上课没有认真听课正在着急,你能不能帮帮忙?题目难度:一颗星。
robots协议ctf
W286734的博客
10-25 481
Robots协议,全称为“网络爬虫排除标准”(Robots Exclusion Protocol),是互联网上用于指导搜索引擎蜘蛛如何抓取和访问网站的一种协议。网站可以通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,从而保护敏感信息和数据,确保用户隐私不被得犯。
CTF--Training-WWW-Robots
qq_40730029的博客
04-20 555
CTF之攻防世界高手进阶题 Training-WWW-Robotsb 题目: 进入场景之后显示如下,由题可知考察的是robots协议 在地址栏加上/robots.txt网页跳转,我们可以看到网页中显示/f10.php不允许显示 同样在地址栏将php网页加上,flag就出现了 ...
CTF-web题 robots协议
2302_80276789的博客
07-22 588
打开如上,第一行user-agent的*是适用于任意的浏览器,后面的是不允许访问(爬虫)后面的两个文件夹和文件,robots协议是一个君子协议,不是硬性要求,我们可以去爬取,但是可能会承担法律责任。访问第一个文件发现没有内容,但是我们往下翻就会发现内容藏在最下面(有的时候可能会藏在源代码被注释,我们需要去仔细寻找。题目打开之后就可以看见他的提示robots。源代码也没有flag信息。那么我们就试一试看看网页中有没有藏一个robots文档输入如下。以上就是题目的flag。与平时不同,前面不是flag的字样。
CTF】Web robots 通关教程
qq_45196785的博客
09-26 600
robots.txt是一个用于指示搜索引擎爬虫如何访问网站内容的文本文件。6、查看robots.txt,拼接Disallow下的html。3、火狐浏览器乱码,可将页面编码调为UTF-8。1、练习中心 - 题目列表 - Web。2、查看题目-启动动态环境。5、修复文字编码-折叠菜单。4、更多工具-定制工具栏。
CTF每日一题之robots访问
xiaotu0821的博客
08-09 3393
刚开始只是给了这么一个提示  看的我一脸蒙蔽,怎么没有提交的地方,不用提交flag,说是访问robots.txt,也没说访问哪个网站的,嗯,先看看源码,没啥发现,想想可能是我想太多了,我先进一下本网站的robots看一下好了 嗯,给了一个链接,不管了,先访问一下 哎哟哟哟,通过了,好吧,通过了那就通过了,就这样吧。 end...
CTF解题记录-Web-robots协议(附靶场链接)
qq_45537463的博客
09-19 2549
题目已经提示的很明显了,这题肯定是有关robots协议,打开题目场景 是一个空白页,在url后加上/robots.txt 出现页面 再将 url中的 /robots.txt 换成/f1ag_1s_h3re.php 得到flag!
robots协议
xiaomin1991222的专栏
06-28 208
robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它[1] 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。 当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在ro...
CTF web robots协议
最新发布
01-04
### CTF Web 安全中的 `robots.txt` 使用与绕过技术 在CTF竞赛中,`robots.txt` 文件是一个常见的攻击面。该文件通常用于指示搜索引擎哪些页面不应被索引。然而,在安全测试和渗透测试场景下,这个文件可能隐藏着重要的线索。 #### 1. `robots.txt` 的作用及其重要性 `robots.txt` 是网站根目录下的一个纯文本文件,用来告诉网络爬虫(如Googlebot)哪些部分不应该被抓取。尽管这是一个公开可访问的资源,很多开发者会错误地认为它能提供某种程度的安全保护[^1]。 ```plaintext User-agent: * Disallow: /admin/ ``` 这段配置表明 `/admin/` 路径不希望被任何机器人抓取。但在实际操作中,这反而可能会吸引参赛者的注意去探索这些路径。 #### 2. 绕过 `robots.txt` 的策略 虽然直接违反 `robots.txt` 中的规定并不总是合法的行为,但在特定条件下可以采取一些技巧来获取更多信息: - **参数修改**:尝试更改URL中的查询字符串或其他动态组件,有时即使某个端点被禁止了,通过改变其后的参数仍可以获得响应。 - **子域名枚举**:利用工具扫描目标站点的所有潜在子域,因为不同子域上的 `robots.txt` 可能有不同的设置[^2]。 - **历史版本挖掘**:借助Wayback Machine等服务查看过去存档过的 `robots.txt` 版本,从中发现曾经存在但现在已被移除的重要链接或API接口。 - **HTTP头检测**:某些应用会在返回给客户端的数据包头部携带额外的信息,比如X-Robots-Tag字段,可用于控制单个网页是否应该遵循 `robots.txt` 设置;检查这类元数据也可能带来意外收获。 #### 3. 实战案例分析 假设在一个CTF挑战里遇到如下所示的 `robots.txt`: ```plaintext User-agent: * Disallow: /secret_folder/ Allow: / Sitemap: https://example.com/sitemap.xml ``` 这里明确指出 `/secret_folder/` 不允许访问。此时可以从以下几个角度入手: - 查看 sitemap.xml 是否列出了更多未提及于 `robots.txt` 内的内容; - 对整个应用程序进行全面模糊测试(Fuzzing),特别是针对那些看似无害却可能存在漏洞的功能模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值