当前位置: 首页 > news >正文

CTF SHOW WEB 4(无法查看源代码)

news 2026/4/20 2:56:42

打开靶场还是没给任何信息,但是题目给了信息

这道题考察的就是web中常见的信息泄露漏洞,特别是针对robots.txt文件的利用,

什么是robots.txt?

robots.txt 是存放于网站根目录下的一个文本文件。它的初衷是告诉搜索引擎的爬虫(如 Googlebot)哪些页面可以抓取,哪些不可以抓取。
然而,在 CTF 比赛中,程序员经常会把敏感的后台地址、隐藏目录写在 robots.txt 的 Disallow 指令中,这反而成了黑客寻找入口的“导航图”。

所以第一步:访问robots.txt

在url后加上/robots.txt后回车

看到上图让后访问那个被disallow的路径

在url的后面加上

/flagishere.txt

最后找到了flag

http://www.jsqmd.com/news/669067/

相关文章:

  • 【仅限首批200名AI架构师】:获取AGI融合系统故障诊断矩阵(含17类典型冲突模式+动态权重调优公式)
  • 抓包方案分享
  • 手把手教你:在UVM验证环境中安全使用disable fork管理并发线程
  • 当代码几乎免费时,程序员还剩下什么?
  • 基于springboot的加油站销售积分管理系统的设计与实
  • AI Agent的感知世界:多模态输入处理
  • AGI与机器人结合不是“加法”,而是“范式熔断”——SITS2026提出全新评估矩阵(含6维动态权重算法)
  • 手把手教你用CAPL脚本监控CANoe环境变量变化,实现自动化测试联动
  • C语言分支循环语句:第二篇:循环语句
  • 世界模型是人机环境系统智能的子集吗?
  • HC32F460驱动ILI9341并口屏:从SPI到16位并口的提速实战与emWin移植避坑
  • AGI游戏智能落地失败率高达67%?SITS2026专家团复盘11个真实项目,提炼出2个关键决策阈值与1个不可逆拐点
  • Netty 编解码器学习记:从粘包拆包到自定义协议
  • JAVA语法合集之(六):活用数组
  • 2026年评价高的天津预应力混凝土屋面板品牌厂家推荐 - 品牌宣传支持者
  • 数据结构面试题避坑指南:别再被这些‘送分题’骗了(附详细解析)
  • 半马:机器人已超过人类
  • 终极指南:专业级AMD Ryzen调试工具SMUDebugTool深度解析与实战应用
  • 2026届必备的五大AI辅助论文助手解析与推荐
  • 项目实训(一)|中医智能诊疗系统后端基础架构搭建与环境配置
  • 2026年3月评价好的除铁器公司口碑推荐,电磁悬挂除铁器/全自动永磁悬挂除铁器/永磁筒磁选机/电磁铁,除铁器厂家有哪些 - 品牌推荐师
  • 协作的“语法”:多 Agent 系统的编排
  • 别只背课文了!用Python爬虫+AI工具,高效复习《新概念英语三》Lesson 16-20
  • 智能客服的终局:从关键词匹配到能够处理复杂售后的全能 Agent
  • python开发一款翻译工具
  • RAG流程详解
  • 2026年热门的室内安全体验馆稳定合作公司 - 品牌宣传支持者
  • SQL处理分组聚合中的数据一致性_使用事务保证
  • 不止于加载:在Cesium中优化ArcGIS WMTS地图服务的性能与视觉体验
  • 【AGI环境监测革命】:3大颠覆性应用、7类实时预警场景与2025碳中和落地路径