Hackinglab 基础关 write up

基础关

1.直接看源码
2.由题意可知，所用的加密方法应该是ROT13
3.看到密文后，明显可知是base64，有提示可知，加密次数应该不少，利用脚本不断decode即可
4.利用MD5进行decode即可
5.更改请求头中的Accept-Language
6.将headers里的浏览器改为’HAHA’
7.相应头里的Key就是答案
8.302状态码，利用wireshark抓包，获取最开始的response
9.查看相应头里set-Cookies为’Login=0’，python脚本将cookies改为’Login’:’1’即可
10.源码显示所post的数据的name是’v’，且限制了我们post数据的长度,利用python脚本，随便post一个比较大的数字即可
11.实验系统出现问题，直接看源码就可以看到，故不算完成，等以后系统好了，再模拟一遍
12.试过/admin.php后，尝试/robots.txt,发现disallow只有一项，接着尝试它，发现提示还差一点，尝试/login.php，发现成功

笔记：

/robots.txt

Robots协议用来告知搜索引擎哪些页面能被抓取，哪些页面不能被抓取；可以屏蔽一些网站中比较大的文件，如：图片，音乐，视频等，节省服务器带宽；可以屏蔽站点的一些死链接。方便搜索引擎抓取网站内容；设置网站地图连接，方便引导蜘蛛爬取页面。

User-agent: * 这里的*代表的所有的搜索引擎种类，*是一个通配符
Disallow: /admin/ 这里定义是禁止爬寻admin目录下面的目录
Disallow: /require/ 这里定义是禁止爬寻require目录下面的目录
Disallow: /ABC/ 这里定义是禁止爬寻ABC目录下面的目录
Disallow: /cgi-bin/*.htm 禁止访问/cgi-bin/目录下的所有以”.htm”为后缀的URL(包含子目录)。
Disallow: /*?* 禁止访问网站中所有包含问号 (?) 的网址
Disallow: /.jpg$ 禁止抓取网页所有的.jpg格式的图片

Disallow:/ab/adc.html 禁止爬取ab文件夹下面的adc.html文件。
Allow: /cgi-bin/　这里定义是允许爬寻cgi-bin目录下面的目录
Allow: /tmp 这里定义是允许爬寻tmp的整个目录
Allow: .htm$ 仅允许访问以”.htm”为后缀的URL。
Allow: .gif$ 允许抓取网页和gif格式图片
Sitemap: 网站地图 告诉爬虫这个页面是网站地图

ROT13

ROT13往往用于字母加密中，十分容易破解，故常见于论坛，简单来说，ROT13就是key=13的凯撒密码，对任何字元x：ROT13(ROT13(x))=ROT26(x)=x
而ROT13也衍生出了ROT5之类的加密方式，此处不必细谈。

Accept-Language

这是HTTP的请求头的一项属性,用于告诉服务器浏览器可以支持什么语言。 如果网站支持多语种的话，可以使用这个信息来决定返回什么语言的网页 。

这是我的firefox的Accept-Language：

Accept-Language:”zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3”

zh-CN，zh表示中文和简体中文，q是权重系数，范围 0 =< q <= 1，q 值越大，请求越倾向于获得其“;”之前的类型表示的内容，若没有指定 q 值，则默认为1，若被赋值为0，则用于提醒服务器哪些是浏览器不接受的内容类型。
而en-US，en是英文(具体的没查到)