攻防世界1.新手练习区
字数 2085 2025-08-11 17:40:26

攻防世界新手练习区解题指南

1. view_source

题目要点

  • 右键功能被禁用
  • 需要通过开发者工具查看页面源码

解题步骤

  1. 访问题目URL
  2. 按F12打开开发者工具
  3. 在Elements标签页中查看HTML源码
  4. 直接找到flag:cyberpeace{0f3a3e4ab8c8664f3cf40d4240ec7b53}

2. robots

题目要点

  • 考察robots协议知识
  • robots.txt文件通常包含网站不希望被搜索引擎抓取的目录或文件

解题步骤

  1. 访问/robots.txt文件
  2. 发现提示文件f1ag_1s_h3re.php
  3. 访问该文件获取flag:cyberpeace{577d71f33e261f53ee278275e3de3de3}

3. backup

题目要点

  • 考察文件备份泄露漏洞
  • 常见备份文件名格式:index.php~index.php.bak

解题步骤

  1. 尝试访问/index.php.bak
  2. 下载备份文件
  3. 查看文件内容获取flag:Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

4. cookie

题目要点

  • 考察HTTP Cookie相关知识
  • 需要检查响应头信息

解题步骤

  1. 访问/cookie.php
  2. 检查响应头(Response Headers)
  3. 在响应头中找到flag:cyberpeace{6504b9e7b01f8a97949a68d32982ce70}

5. disabled_button

题目要点

  • 按钮被disabled属性禁用
  • 需要修改HTML元素属性

解题步骤

  1. 按F12打开开发者工具
  2. 找到按钮元素
  3. 删除disabled属性
  4. 点击按钮获取flag:cyberpeace{0b19b9abb6aea292154a6499abb172e6}

6. weak_auth

题目要点

  • 考察弱密码爆破
  • 提示使用admin账号登录

解题步骤

  1. 使用Burp Suite等工具进行爆破
  2. 针对admin账号尝试常见弱密码
  3. 成功登录后获取flag:cyberpeace{f5a9342401aee62a8ea8d22cb9362cc9}

7. simple_php

题目要点

  • 考察PHP弱类型比较
  • 需要绕过两个条件判断

源码分析

$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){  // a需要等于0同时为真
    echo $flag1;
}
if(is_numeric($b)){ // b不能是数字
    exit();
}
if($b>1234){       // b需要大于1234
    echo $flag2;
}

解题步骤

  1. 构造a参数:a=a(字母默认转换为0,同时为真)
  2. 构造b参数:b=1235a(非数字但比较时会被转换为1235)
  3. 完整payload:/?a=a&b=1235a
  4. 获取flag:Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}

8. get_post

题目要点

  • 考察GET和POST请求方法

解题步骤

  1. 发送GET请求:/?a=1
  2. 发送POST请求:b=2
  3. 获取flag:cyberpeace{f63d796525d81be9a436ed31d1ef7c51}

9. xff_referer

题目要点

  • 考察HTTP头部伪造
  • 需要设置X-Forwarded-For和Referer头

解题步骤

  1. 添加请求头:X-Forwarded-For: 123.123.123.123
  2. 添加请求头:Referer: https://www.google.com
  3. 获取flag

10. webshell

题目要点

  • 考察webshell连接
  • 使用中国菜刀等工具连接

解题步骤

  1. 识别webshell代码:<?php @eval($_POST['shell']);?>
  2. 使用中国菜刀连接,密码为shell
  3. 获取flag:cyberpeace{3dffde669e47bfaaa521bbbba1f075b1}

11. command_execution

题目要点

  • 考察命令注入漏洞
  • 使用分号;连接多个命令

解题步骤

  1. 输入:127.0.0.1;ls 测试命令注入
  2. 查找flag文件:127.0.0.1;find / -name flag.txt
  3. 查看flag文件内容:127.0.0.1;cat /home/flag.txt
  4. 获取flag:cyberpeace{a120a656a36cbc00c6e2b288b06564b1}

12. simple_js

题目要点

  • 考察JavaScript代码审计
  • 需要解码隐藏的flag

解题步骤

  1. 分析JavaScript代码中的加密函数
  2. 提取加密字符串:\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30
  3. 编写解码脚本:
s = [55,56,54,79,115,69,114,116,107,49,50]
d = ""
for i in s:
    d += chr(i)
print(d)
  1. 获取flag:Cyberpeace{786OsErtk12}
攻防世界新手练习区解题指南 1. view_ source 题目要点 : 右键功能被禁用 需要通过开发者工具查看页面源码 解题步骤 : 访问题目URL 按F12打开开发者工具 在Elements标签页中查看HTML源码 直接找到flag: cyberpeace{0f3a3e4ab8c8664f3cf40d4240ec7b53} 2. robots 题目要点 : 考察robots协议知识 robots.txt文件通常包含网站不希望被搜索引擎抓取的目录或文件 解题步骤 : 访问 /robots.txt 文件 发现提示文件 f1ag_1s_h3re.php 访问该文件获取flag: cyberpeace{577d71f33e261f53ee278275e3de3de3} 3. backup 题目要点 : 考察文件备份泄露漏洞 常见备份文件名格式: index.php~ 或 index.php.bak 解题步骤 : 尝试访问 /index.php.bak 下载备份文件 查看文件内容获取flag: Cyberpeace{855A1C4B3401294CB6604CCC98BDE334} 4. cookie 题目要点 : 考察HTTP Cookie相关知识 需要检查响应头信息 解题步骤 : 访问 /cookie.php 检查响应头(Response Headers) 在响应头中找到flag: cyberpeace{6504b9e7b01f8a97949a68d32982ce70} 5. disabled_ button 题目要点 : 按钮被disabled属性禁用 需要修改HTML元素属性 解题步骤 : 按F12打开开发者工具 找到按钮元素 删除 disabled 属性 点击按钮获取flag: cyberpeace{0b19b9abb6aea292154a6499abb172e6} 6. weak_ auth 题目要点 : 考察弱密码爆破 提示使用admin账号登录 解题步骤 : 使用Burp Suite等工具进行爆破 针对admin账号尝试常见弱密码 成功登录后获取flag: cyberpeace{f5a9342401aee62a8ea8d22cb9362cc9} 7. simple_ php 题目要点 : 考察PHP弱类型比较 需要绕过两个条件判断 源码分析 : 解题步骤 : 构造a参数: a=a (字母默认转换为0,同时为真) 构造b参数: b=1235a (非数字但比较时会被转换为1235) 完整payload: /?a=a&b=1235a 获取flag: Cyberpeace{647E37C7627CC3E4019EC69324F66C7C} 8. get_ post 题目要点 : 考察GET和POST请求方法 解题步骤 : 发送GET请求: /?a=1 发送POST请求: b=2 获取flag: cyberpeace{f63d796525d81be9a436ed31d1ef7c51} 9. xff_ referer 题目要点 : 考察HTTP头部伪造 需要设置X-Forwarded-For和Referer头 解题步骤 : 添加请求头: X-Forwarded-For: 123.123.123.123 添加请求头: Referer: https://www.google.com 获取flag 10. webshell 题目要点 : 考察webshell连接 使用中国菜刀等工具连接 解题步骤 : 识别webshell代码: <?php @eval($_POST['shell']);?> 使用中国菜刀连接,密码为 shell 获取flag: cyberpeace{3dffde669e47bfaaa521bbbba1f075b1} 11. command_ execution 题目要点 : 考察命令注入漏洞 使用分号 ; 连接多个命令 解题步骤 : 输入: 127.0.0.1;ls 测试命令注入 查找flag文件: 127.0.0.1;find / -name flag.txt 查看flag文件内容: 127.0.0.1;cat /home/flag.txt 获取flag: cyberpeace{a120a656a36cbc00c6e2b288b06564b1} 12. simple_ js 题目要点 : 考察JavaScript代码审计 需要解码隐藏的flag 解题步骤 : 分析JavaScript代码中的加密函数 提取加密字符串: \x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30 编写解码脚本: 获取flag: Cyberpeace{786OsErtk12}