初探CTF-WEB挑战

于 2024-09-14 15:26:57 发布
阅读量418 收藏 1
点赞数 15
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75296969/article/details/142259327
版权

一、 作业内容

1. 准备各种工具,并且能够使用

2. 完成新手题,找到flag

二、 操作步骤

1. EzLogin

2. Canyouaccess

3. Chopper

4. cookie

5. Employeeswork

6. Ezinclude

7. Ezsearch

8. Robots

9. Vim

10. Wtfbutton

三、 作业总结

  • 作业内容
  1. 准备各种工具,并且能够使用
  1. 完成新手题,找到flag

  • 操作步骤
  1. EzLogin

查看页面源代码

翻译两个注释

打开burp进行爆破

登陆成功,找到flag------flag{Burp_Intruder_1s_UseFUll}

2.Canyouaccess

查看页面源代码:

用burp抓包

输入Client-ip:127.0

弹出需要从gogle.com访问

修改后又出现请使用ABC Browser

修改成功,找到flag----flag{HTTP_He4deR_c4n_b3_CoNtr0led}

3.Chopper

打开蚁剑,连接木马

连接成功后进入

找到flag---f1ag{07d12a5e-1649-fc7c-3e9f-e89243c8117e}

4.cookie

打开控制台,查看cookie相关信息

发现hint=f14g txt

进去f14.txt,成功找到flag----flag{U_kn0w_muCh_@bout_C00k1e!}

5.Employeeswork

打开浏览器的HackBar,并且加入重复内容

成功绕过,得到flag----flagfiNput R3pl4c3 i5 W3aK}

        

6.Ezinclude

在浏览器HackBar中操作

得到被Base64编码的flag

解码,得到flag----flag{pHp_f1lter_123s_d4ngypus}

7.Ezsearch

查看页面源代码,找到flag----flag{1st_st3p_SH0w_s0uRce}

8.Robots

在网页导航栏中加入robots.Txt

再分别进去两个文件内部,最后再robot-nurses找到flag------Y1ng{R0bots_m4ke_u_Kn0w_s0m3th1ng}

9.Vim

在导航栏中加入.inde.php.swp,自动下载一个文件

打开文件得到flag------flag{v1m_b4ckup_swp_aNd_~}

10.Wtfbutton

查看源码

通过HackBarsh 手动post

得到flag

  • 作业总结

通过实验,学会使用burp,剑蚁,HackBarsh等工具的使用,大致了解了ctf比赛内容和比赛形式,完成新手题目,并大致了解渗透方向

交只因花
关注
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
CTF-WEB_ctf代码,网络安全面试题中高级
2401_84164503的博客
04-09 653
启动第一个靶机,常规遇到登录框,先用弱口令试一下不行再抓包看一下, 显然和之前的数据包是不一样的,多了些XML标签构造payload如下:(一般来说这个很冷门)]>&xxe;1#调用xxe实体,执行后面的命令————读取/etc/passwd文件xxe还可以进行内网信息收集,如探索存活主机、查看路由等本题的flag就在根目录下面,查看的时候,使用xxe实体,里面定义读取文件:filter:///flag文件即可得到flag。
探索Web安全的奥秘:CTF浏览器挑战集合
gitblog_00084的博客
06-26 299
???? 探索Web安全的奥秘:CTF浏览器挑战集合???? 项目地址:https://gitcode.com/exd0tpy/CTF-browser-challenges 在信息安全的广阔领域中,Capture The Flag(CTF)比赛是检验和提升技术人员安全技能的独特战场。今天,我们要向大家隆重推荐一个专为浏览器安全挑战设计的开源宝藏——???? CTF浏览器挑战集合 ????。这不仅是一个项目,而是一扇通往网...
Web-Security-Learning
Grey的博客
01-18 3209
Web-Security-Learning在学习Web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/12/21。同步更新于: chybeta: Web-Security-Learning (带目录) 12月21日更新:新收录文章sql注入SQL注入的“冷门姿势”MySQL绕过WAF实战技巧NetSPI SQL Injection WikiXSSBrowser's X
CTF—Go题目复现
Sentiment的博客
06-23 3011
一道Go的模板注入由于没了解过Go的SSTI所以先简单看下:go语言快速入门:template模板 · Golang语言社区 · 看云 (kancloud.cn)Go SSTI初探 | tyskillのBloggo的SSTI漏洞成因与模板语法和jinja2差不多,都用到了,通过{{.}}我们可以获得到作用域Demo 当使用{{.}}时,会获取person结构体中的所有属性,所以在经过Execute渲染后,便会输出: 除此外若想获取单个属性也可以用 结果 复现 主要有几个路由 先看的flagHandler 中
网络靶场实战-物联网安全qiling框架初探
蛇矛实验室
04-25 978
在这一小节中,我们简单学习了qiling框架,我们使用ctf例题以及qilinglab的11个闯关题目进行练习,熟练掌握了qiling框架的基础使用。后面的小节中,我们将使用qiling框架对仿真设备进行实例fuzz测试。
常用的网络安全靶场、工具箱、学习路线推荐
网络安全
04-18 3088
本公众号名称从“网络安全研究所”正式改为“网络安全实验室”有招聘需求的可以后台联系运营人员。对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。CTF在线工具首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常...
CTF中的PHP反序列化ALL IN ONE
Love&Share
09-01 1万+
CTF中的PHP反序列化 1.反序列化的基础知识 什么是序列化,反序列化,php反序列化,序列化字符串知识,漏洞产生原因,修复方法 php反序列化漏洞,又叫php对象注入漏洞,是ctf中常见的漏洞。 PHP基础知识 PHP类与对象(https://www.php.net/manual/zh/language.oop5.php) PHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php) 序列化定义 php程序为了保存和转储对象,提供了序
干货 初探SRC挖掘第一步
韩束一叶子
07-05 774
扫码领取网安教程许多新手师傅在尝试挖掘SRC漏洞时,常常找不到合适的切入点。刚开始接触SRC时,我们可以从一些中低危漏洞入手,通过逐步积累经验和自信心,逐渐挑战高危漏洞。在挖掘SRC的过程中,保持良好的心态非常重要,不要急于求成。如果暂时没有找到漏洞,就当作是熟悉大厂的业务逻辑。接下来,为想要入门SRC的师傅们介绍一些简单的案例,帮助大家快速找到自己的第一个漏洞。关于信息泄露,主要是选择几个接口信息泄露的案例,非常简单也非常容易出洞。
网络安全入门:CTF比赛初探
# 第一章:网络安全概述 ## 1.1 什么是网络安全 网络安全(Network Security)指的是通过采取各种技术手段和管理措施,保护网络系统中的数据不被未授权的访问、使用、修改、泄露、破坏和删除,同时确保网络系统...
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
杨秀璋的专栏
01-09 2万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,而且用户注册该网站时需要绕过关卡并获取邀请码,涉及审查元素、base64解密、发送post请求等操作,挺有意思的。这是一篇基础性文章,将讲述注册过程、遇到的难点及入门案例,希望对您有所帮助。
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
热门推荐
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
构建高效 Python Web API:RESTful 设计与 GraphQL 实践
weixin_52392194的博客
09-11 1264
在现代 Web 开发中,API 是前后端通信的核心枢纽,设计一个高效且易于扩展的 API 是保证系统良好运行的基础。本文详细探讨 RESTful API 的设计准则,如何生成 API 文档,GraphQL 的应用,以及如何在 FastAPI 和 Django REST Framework 中实现分页、过滤、认证等功能。
(微服务项目)新闻头条——Day1
最新发布
weixin_73253843的博客
09-13 707
(微服务项目)新闻头条——Day1
2024伊语IM即时通讯源码/im商城系统/纯源码IM通讯系统安卓+IOS前端纯原生源码
翎风世界
09-10 643
2.4 node安装wget "https://nodejs.org/dist/v12.18.3/node-v12.18.3-linux-x64.tar.xz"资料参考地址:https://www.1234f.com/sj/GitHub/qtym/20240910/677.html。源码下载地址:https://www.123pan.com/s/LA1bVv-5l5Vv。备用下载地址:http://pan.1234f.com:5212/s/5PrS4。api.xxx.com接口。im.xxx.com通讯。
react 基础语法
小白小白从不日别的博客
09-13 1348
React 官方中文文档目前前端最流行的是三大框架:Vue、React、Angularreact是一个用于构建用户界面的 JavaScript 库react官网(Reactreact中文网(React 官方中文文档React 是一个用于构建用户界面(UI,对咱们前端来说,简单理解为:HTML 页面)的 JavaScript 库Vue 是一个渐进式的 JavaScript 框架如果从mvc的角度来看,React仅仅是视图层(V)的解决方案。也就是只负责视图的渲染,并非提供了完整了M和C的功能。
前端】vue+html+js 实现table表格展示,以及分页按钮添加
weixin_43872912的博客
09-09 502
数据条数太多显示到页面上时可能会渲染较慢,因此需要截取数据进行展示。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值