笔记? 或许吧 (初学web
目录
攻防世界
1. Training-WWW-Robots
不难发现robots.txt 但是不知道是什么问问AI找到是个协议 再问robots协议
下面是AI查询结果
AI
robots协议概述
robots协议(Robots Exclusion Protocol)是网站通过robots.txt文件告知搜索引擎哪些页面或目录可以被爬取,哪些应被禁止的规范。该协议属于自愿遵守的行业标准,并非强制性技术约束。
robots.txt文件规则
- 基本语法:
User-agent: 指定适用的爬虫名称(如*表示所有爬虫)。Disallow: 禁止爬取的路径(如Disallow: /private/)。Allow: 允许爬取的路径(通常与Disallow配合使用,优先级更高)。Sitemap: 声明网站地图位置(如Sitemap: https://example.com/sitemap.xml)。
示例:
User-agent: * Disallow: /admin/ Allow: /public/ Sitemap: https://example.com/sitemap.xml 注意事项
- 文件位置:必须放置在网站根目录(如
https://example.com/robots.txt)。 - 大小写敏感:路径和文件名通常区分大小写。
- 缓存问题:搜索引擎可能缓存
robots.txt,更新后需等待重新抓取。 - 非强制约束:恶意爬虫可能无视协议,需结合其他安全措施(如IP限制)。
高级用法
- 动态生成:可通过服务器脚本动态生成
robots.txt,适应不同环境(如测试环境屏蔽爬虫)。 - 爬虫延迟:通过
Crawl-delay指令建议爬虫抓取间隔(部分爬虫支持)。
验证工具
- 使用Google Search Console的“robots.txt测试工具”检查文件有效性。
- 在线验证器如SEOmatic可分析语法错误。
robots协议是网站管理者与爬虫交互的基础工具,合理配置可优化搜索引擎索引并保护敏感数据。
查询robots.txt
查询 /fl0g.php
很容易得到flag : cyberpeace{a7a270388ffb7f534f4b8117732a6277}
2.PHP2
初步尝试id=admin
显示不允许 看了下别的地方找不到什么线索
查了下需要用 index.phps查询php源码
关于 index.phps 的解释
index.phps 是 PHP 文件的源代码展示版本,通常由服务器配置生成。当访问 .phps 文件时,服务器不会执行 PHP 代码,而是直接以纯文本形式显示源代码内容。
常见用途
- 代码共享:开发者可通过
.phps文件快速分享 PHP 脚本的源代码,无需额外工具。 - 调试辅助:检查服务器上的 PHP 文件内容,确认实际执行的代码逻辑。
配置方法
在 Apache 服务器中,可通过 .htaccess 文件或主配置文件启用 .phps 支持:
AddType application/x-httpd-php-source .phps 保存后重启服务器,访问 index.phps 即可查看 index.php 的源代码。
注意事项
- 安全性:避免在生产环境中启用此功能,可能导致敏感信息(如数据库密码)泄露。
- 文件命名:需确保存在同名的
.php文件(如index.php),否则.phps请求可能返回 404 错误。
如需临时查看单个文件的源代码,可直接重命名文件为 .phps 扩展名,或使用代码编辑器打开原始 .php 文件。
查询后得到
看代码? 我不会所以问问ai
得到关键 这段代码存在逻辑漏洞,可以通过URL编码绕过第一次检查
?id=%2561%2564%256d%2569%256e那就绕过
得到Key: cyberpeace{9f12bf38b974df32544acffefa88831e}