攻防世界CTF web方向

入门题鉴赏

disabled_button

https://adworld.xctf.org.cn/challenges/list
解决思路：因为说的是前端的button坏掉了，于是我们用查看器查看他的页面源代码，发现有个disabled，就是不能的意思

将 disabled 删掉即可！
总结：前端JS代码查看修改

weak_auth

https://adworld.xctf.org.cn/challenges/list
暴力破解，蹭运气
我真就是随便输入了几个数，他就给我 flag 了！
正常做法肯定还是bp爆破，python脚本编写

simple_php

很明显看到题目是PHP代码块

思路：在题目中我们可以看到，a需要与0进行弱比较（任何一个整数都不可以，因为都比0大，于是我们优先想到字符串）其次我们看到b那里需要不是数字，我们就可以跳过if判断它是数字的代码，而且他又要大于1234，随便给一个值并且加上几个字母即可！

这里说明一点：php 在字符串与数字比较的时候，会把字符串转化为数字，在转化的时候会先判断

xff_referer

首先解释一下名词含义：
X-Forwarded-For（XFF）：是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段
它的作用：使Web服务器获取访问用户的IP真实地址(可伪造)

referer：是HTTP头部的一部分，当浏览器向web服务器发送请求时，一般会带上Referer，用来表示从哪个页面链接到当前的网页，服务器因此可以获得一些信息用于处理，采用的格式是URL
作用：通过HTTP Referer，当前的网页可以检查访客从哪里而来，这也常被用来对付伪造的跨网站请求。Referer可以用来判断请求来源是否合法，从而防止恶意攻击

这道题很明显就是利用上面两者作用结合做的