XCTF Cyberpeace-n3k0新手练习

本文章题目来自 XCTF-Cyberpeace-n3k0(https://adworld.xctf.org.cn/challenges/list) 新手练习题库,解题过程为个人见解。

view_source

首先打开页面发现右键失效了

此时我们只需要按下F12,打开控制台,可以发现flag就在源代码里面。

robots

robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。
当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
因此我们可以直接联想到在路径后面加/robots.txt

可以看到让我们禁止访问f1ag_1s_h3re.php
于是我们将路径后改成/f1ag_1s_h3re.php

得到flag

backup

常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history
让我们查看备份文件

看到存在备份文件index.php.bak访问

得到flag

访问网站可以看到提示让我们查看cookie

于是我们可以打开cookie Manager提示在cookie.php

于是我们可以访问/cookie.php,提示让我们查看http响应

打开burpsuite进行抓包

查看返回包,得到flag

disabled_button

我们可以看到flag的按钮失效了
打开开发者工具,在查看器窗口审查元素,发现存在disabled=""字段,

将其删除,按下按钮,得到flag

初学者,请大佬多多指教