当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
Web (新手练习题)之 view_source
0x01 前言
想玩玩攻防世界的朋友,CE已附上XCTF Web 练习题传送门:https://adworld.xctf.org.cn/
难度系数:一星
题目来源: Cyberpeace-n3k0
题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。
题目分析:从题目,我们可以看到X老师给小宁这个靓仔(叼毛)一个任务,就是去某网站查看网页的源代码,但是进入该网站后发现无法从鼠标右键里面点击查看源代码。
个人感觉,解这道题的Flag 就在网页的源代码里面藏着,那么除了右键点击查看页面源代码外,还可以使用哪些方法查看页面源代码?
CE 列出一些能想到的方法,供大家参考:
- F12 开发者工具查看源代码
- 快捷键或输入view-source
- BurpSuite 抓包获得网页源代码
- 禁用JS插件后,查看源代码
- html 页面存储到本地查看
以上列出的方法,在等会都会有演示。
备注:
大家进入攻防世界,注册账号并登陆后,点击页面左上方一栏的【答题】标签下的【Web】标签页开始竞赛吧,该Web 方向题目分【新手练习区】和【高手进阶区】。
我这里选择的是新手练习区,玩玩的,欢迎大家一起来玩耍。
0x02 F12 开发者工具查看源代码
1、用firefox打开页面,摁下F12(查看整个DOM结构),打开查看器可以得到flag
下方有个被注释的一串字符串,找到flag
2、用chrome打开页面,摁下F12(查看整个DOM结构),在Elements栏可以得到flagF12
下方有个被注释的一串字符串,找到flag
0x03 快捷键或输入view-source
URL地址栏加view-source: 或 Ctrl+u(查看源码快捷键)
下方有个被注释的一串字符串,找到flag
0x04 BurpSuite 抓包获得网页源代码
开启监听抓包,然后去Target的Response 或开启抓包后右击一下将数据包放到Response(重放)里面查看
下方有个被注释的一串字符串,找到flag
0x05 禁用JS插件后,查看源代码
网页鼠标右键失效一般都是JS代码禁用了右键菜单,利用插件禁用JS代码即可。
禁用js代码右键查看源代码即可得到flag
禁用js操作步骤:
- 首先,在地址栏中输入 “about:config”
- 然后,在搜索框中输入 “javascript.enabled”,将其设置为false返回题目
禁用js成功后,返回题目页面,右键查看源代码
0x06 html 页面存储到本地查看
将页面保存到本地,用记事本打开即可获得Flag
不同浏览器将html 页面保存到本地会不同,但大同小异,这里以Firefox 为例,操作如下图:
保存到本地
用记事本打开
成功获得flag
我不需要自由,只想背着她的梦
一步步向前走,她给的永远不重