信息收集的题都可以进行目录扫描进行爆破,基本上所有的题都可以出。例如用dirsearch,命令是dirsearch -u [网站地址] 。
下面讲一下常规做法
web1(源码)
根据提示注释未及时删除,直接查看源代码即可获得flag
Web2(js前台拦截 )
提示为
发现右键和F12被禁用,查看不了源代码。可以用下面的任意一种方法可以绕过拿到flag
CTRL+SHIFT+I
CTRL+U
在url栏前面加 view-source:
web3(响应头)
根据提示
打开题目容器后按F12打开开发者工具,点到网络那里,刷新一下页面,在响应头那里可以发现flag
web4(robots.txt)
robots协议:robots是告诉搜索引擎,你可以爬取收录我的什么页面,你不可以爬取和收录我的那些页面。robots很好的控制网站那些页面可以被爬取,那些页面不可以被爬取。
在ctf中常常把一些目录写到robots协议中,当作提示,这题直接访问robots.txt,发现
/flagishere.txt目录,直接访问即可
web5(phps)
访问index.phps即
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
