基础关
第5题
种族歧视
分值:300
小明同学今天访问了一个网站,竟然不允许中国人访问!太坑了,于是小明同学决心一定要进去一探究竟!
通关地址:http://lab1.xseclab.com/base1_0ef337f3afbe42d5619d7a36c19c20ab/index.php
使用burpsuite 发现get请求报文中有一项内容为:
Cookie: saeut=180.136.72.102.1439009649730735
这里就是记录ip的地方,随便找一个外国的ip换上,发现不行。。。
那么增加x-forwarded-for:205.186.154.32呢,还是不行。。。
到网上找找提示。。。。。。
原来要改的是Accept-Language:en-US,en;q=0.8
这无语了。。。。。。
使用burpsuite中的repeater得到了key:*(TU687jksf6&*
第12题
就不让你访问
分值:150
小明设计了一个网站,因为总是遭受黑客攻击后台,所以这次他把后台放到了一个无论是什么人都找不到的地方....可最后还是被黑客找到了,并被放置了一个黑页,写到:find you ,no more than 3 secs!
通关地址:http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/index.php
网页内容:I am index.php , I am not the admin page ,key is in admin page.
刚开始我想到的是用工具扫描后台,然后根据题目想想应该不是这样的,然后就没思路了。在网上找了找提示,要用到robots.txt的知识,不知道什么是robots.txt啊,然后就去了解下:
Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。
robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。
当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。百度官方建议,仅当您的网站包含不希望被搜索引擎收录的内容时,才需要使用robots.txt文件。如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。
在浏览器中输入链接:
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/robots.txt
看到:
User-agent: *
Disallow: /
Crawl-delay: 120
Disallow: /9fb97531fe95594603aff7e794ab2f5f/
Sitemap: http://www.hackinglab.sinaapp.com/sitemap.xml
然后继续输入链接:
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/
看到这个URL就知道扫不出来了。。。
打开之后网页内容为:
you find me,but I am not the login page. keep search.
这里有个提示:login page
那么试试/login.php吧,成功了。
http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/login.php
Key:UIJ%%IOOqweqwsdf