今天挑戰的是:
題目描述問我們能不能找到「robots」,並提示要思考網站作者不想讓人看到的地方。
解題思路
一、觀察題目給的網址
wget -q -O robots.txt http://jupiter.challenges.picoctf.org:60915/robots.txt
題目提供了一個網址 http://jupiter.challenges.picoctf.org:60915。這是一個 Web 題,直覺就是要檢查網站的公開資源。
二、想到 robots.txt
在提示中出現了關鍵:網站的哪個部分會透露「不希望你看到的內容」?
很快就聯想到 robots.txt。這是一個網站告訴搜尋引擎「哪些頁面不要被爬取」的設定檔,但同時任何人都能直接讀取。
輸入:sed -n '1,200p' 8028f.html
其實答案已經顯示出來了,但練習就要做徹底...
三、直接搜尋 picoCTF 關鍵字
輸入:grep -n -i 'picoCTF|picoctf' 8028f.html || true
學到ㄉ
"robots.txt"是網站告訴搜尋引擎哪些頁面不要索引的檔案,但內容公開可讀;在 CTF 題目中常被用作提示隱藏資源的位置。
找到 Disallow 路徑後,直接訪問該 URL 就常能拿到 flag。若是動態組合的 flag,還要檢查該頁面引用的 JS/CSS。
小提醒:在做這類題目時避免暴力掃描/爬大量路徑,通常題目會只用一兩個 Disallow 路徑做提示。