iT邦幫忙

2025 iThome 鐵人賽

DAY 14
0
自我挑戰組

新手挑戰 picoCTF:資安入門紀錄系列 第 14

CTF 學習紀錄|where are the robots

  • 分享至 

  • xImage
  •  

今天挑戰的是:https://ithelp.ithome.com.tw/upload/images/20250925/20178898c2A3G6sqJg.png
題目描述問我們能不能找到「robots」,並提示要思考網站作者不想讓人看到的地方。

解題思路
一、觀察題目給的網址
wget -q -O robots.txt http://jupiter.challenges.picoctf.org:60915/robots.txt
https://ithelp.ithome.com.tw/upload/images/20250925/20178898fnwUYdoaBN.png
題目提供了一個網址 http://jupiter.challenges.picoctf.org:60915。這是一個 Web 題,直覺就是要檢查網站的公開資源。

二、想到 robots.txt
在提示中出現了關鍵:網站的哪個部分會透露「不希望你看到的內容」?
很快就聯想到 robots.txt。這是一個網站告訴搜尋引擎「哪些頁面不要被爬取」的設定檔,但同時任何人都能直接讀取。

輸入:sed -n '1,200p' 8028f.html
https://ithelp.ithome.com.tw/upload/images/20250925/20178898UT0pyB5XNF.png
其實答案已經顯示出來了,但練習就要做徹底...

三、直接搜尋 picoCTF 關鍵字
輸入:grep -n -i 'picoCTF|picoctf' 8028f.html || true
https://ithelp.ithome.com.tw/upload/images/20250925/20178898isYmWhkeSh.png


學到ㄉ
"robots.txt"是網站告訴搜尋引擎哪些頁面不要索引的檔案,但內容公開可讀;在 CTF 題目中常被用作提示隱藏資源的位置。
找到 Disallow 路徑後,直接訪問該 URL 就常能拿到 flag。若是動態組合的 flag,還要檢查該頁面引用的 JS/CSS。

小提醒:在做這類題目時避免暴力掃描/爬大量路徑,通常題目會只用一兩個 Disallow 路徑做提示。


上一篇
First Grep:用 egrep 在檔案中找出 flag
下一篇
picoCTF 解題紀錄:Python Wrangling
系列文
新手挑戰 picoCTF:資安入門紀錄17
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言