新手上手ctf web简单小题教程 第二弹

最新推荐文章于 2024-08-13 20:42:59 发布
最新推荐文章于 2024-08-13 20:42:59 发布
阅读量321 收藏 1
点赞数
文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79817291/article/details/134084759
版权

第一

612eb587cefb4ae1ae0cbcfc9334eb3c.jpg

 根据题目可知,需要参数what=flag.

0324081098ab4b8a8ca63a6539b3ccad.jpg

 1.右击鼠标,检查源代码

cde7d83c68374668975a2fa69da57d17.jpg

 2.点击hackbar,再点击load url将该网址放进第一个框中,勾选post data 

a80595baf78944458da514544d6a8064.jpg

 3.再第二个框里输入what=flag,最后点击execute,就可得到。

365ec83e5c274313bf1c42cb720efebf.jpg

 第二

f8af88eeb6bb4e52aad7b26f4f13ea94.png

 根据题目要求,得知需admin才能得flag,则:

1.对网站进行抓包

2.把admin=0改成admin=1

3.点击send就可得到

6fa782a2eb1345fc82de0713c07cb4f0.png

 

 第三

447b5b9c228943c49eb66850b891ebd0.png

 根据题目需要123.123.123.123网址

1.对网站进行抓包

2.运用x_forward_for 域名,加入需要网址

3.如需要特定浏览器,则添加referer

727d75d0b1bc49b894923f9f0c7ca5c7.png

 总结:可以查看源代码,运用hackbar插件,在当添加需要的条件,还可以运用抓包,改变请求方式,利用域名修改网址。

2301_79817291
关注
ctf-web
weixin_43150428的博客
11-04 2782
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
CTF初学笔记-web新手题目(附学习资料)
2301_77472496的博客
04-28 917
CTF大赛, 俗话说“兵马未动,粮草先行”,打CTF手里的武器工具少不了。
CTF -Web系列-信息漏洞
最新发布
2301_81525518的博客
08-13 593
复制文件.txt回到网站拼接成功找到flag返回到CTFHub提交。进入文件就可以看到flag然后复制回去提交就ok了。下载后进入文件找到flag复制粘贴回去提交。进入网站拼接index.php.bak。进入网站拼接index.php.swp。然后进入虚拟机kali输入命令进行克隆。进入后直接git show查看。进入发现里边只有.txt文件。在网站后拼接就可以直接显示了。进入dist下的文件.git。回到网址拼接www.zip。把.txt文件前边空格删掉。成功找到www.zip。然后复制粘贴提交回去。
CTF网络安全大赛简单web题:GET
红客网络编程与渗透技术
05-16 478
在上面的代码片段中,有几个问题和潜在的安全风险。首先,代码片段中缺少了PHP的
CTF-web题之简单的SQL注入
qq_25046827的博客
11-24 5219
这两天闲着没事报名了学校信安和网安组织的网络安全大赛,靠着仅有的一点web知识做了几道web题,现在记录一下其中一道sql注入题的解题思路 首先题面如下 首先通过语句判断有多少个字段: 1' or 1=1 order by 4 # 1' or 1=1 order by 3 # order by是按by后面的数字或字段名所在列进行排序,如果结果集只有3列,order by4则会报错,故可以用来判断结果集的字段数 第一条语句报错,第二条语句返回 admin 5ef582761f2cafceebdfc8c
新手上手ctf web简单小题教程
2301_79817291的博客
10-20 190
\抓包:在Burp Suite Loader中打开proxy并开启intercept,点击open browser,搜索需要的网址,点击右键找到 sent to repeater或ctrl+人,在repeater中点击发送即可查看信息。方法:在检查源代码中查找错误,按照题目提示完成要求,获得fleg。计算式子,得出结果,在源代码中发现只能输入一个数字,改大即可。在源代码中发现不可点击,删去即可。方法:直接查找源代码或检查源代码。方法:通过抓包或检查源代码。
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
ctf web解题 找flag夺旗赛概述、原理及应用.pdf
05-13
### CTF Web解题 找flag夺旗赛概述、原理及应用 #### 一、概述 CTF(Capture The Flag,夺旗赛)是网络安全领域内一种极为流行的竞赛形式,尤其是在Web安全领域。这种竞赛模式旨在模拟真实世界的网络安全挑战,...
ctfhub web全部做题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全Web安全是网络...
002-CTF web题理论基础篇-第二课理论基础.pdf
07-09
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web题目主要涉及Web安全领域的知识和技巧。本篇将深入探讨CTF Web题型的基础理论,帮助参赛者理解和掌握解题的关键点。 1. 工具集: 在CTF Web挑战中,通常会...
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
在网络安全的领域里,CTF(Capture The Flag)竞赛已经成为了一种检验技能和提升知识的重要方式,特别是Web解题部分,它将理论与实践紧密结合,让参赛者在寻找隐藏的Flag中体验到黑客攻防的乐趣。为了在CTF Web解题...
CTF-入门练习题
10-30
题目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
CTF/web
05-15 102
题目简述:做法1.动图:查看源代码2.计算器:打开控制台ctrl shift c,修改mathmax3.$_get:在url后添加?what=flag4.$_post:查看源码,使用firefox hackbar 进行post data5.矛盾:is_numeric() 函数用于检测变量是否为数字或数字字符串。读代码,明确要求满足不为数字且值为1输入即可获得flag//你要知道1的任何次...
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
初遇ctfweb
weixin_42349846的博客
10-26 193
解题思路来自:https://www.cnblogs.com/Downtime/p/7238850.html 1。http://117.34.116.134:8085/xatu/web6/ 在第三行, 运用了extract()函数, 将get方式获得的变量导入到当前的符号表中. 然后判断a与a与a与content两个变量的内容是否相等. 但是, 由于extract()函数的不足之处, 导致这段代码...
ctfweb
weixin_64581094的博客
12-06 107
ctf弱类型
CTF-web
sleepywin的博客
03-05 97
CTF学习
CTFweb
weixin_42027200的博客
12-10 643
wireshark使用: 打开软件,选中局域网或者本地连接。 在搜索框中输入查询的ip和端口,具体格式为: http and addres IP地址 and port http and ip.addr == 127.0.0.1 and tcp.port == 8080 http and ip.addr == 127.0.0.1 and udp.port == 8080 http contains “suda” 以上三条是示例。 御剑: 打开之后直接在域名框中输入对应的域名,之后选择相应的要求。查询相应的文件
CTFweb(一)
weixin_44889655的博客
04-11 1165
web-bugku头等舱网站被黑管理员系统 头等舱 题目来源:https://ctf.bugku.com/challenges 地址:http://123.206.87.240:9009/hd.php 打开页面是这样的: 看到题目,先架起我的三板斧 先查看一下页面源代码,没发现有用的东西。 -拿出大杀器burp 抓包看看: 没发现什么有用的信息,但看到题目突然想到(原谅我反应慢),此题...
ctf web 思维导图
12-18
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web领域涉及到了网页应用程序的漏洞挖掘和利用。下面是CTF Web思维导图的简要解释: CTF Web思维导图主要分为三个方面:Web漏洞类型、漏洞利用技术和解题方法。 Web漏洞类型包括:注入漏洞(如SQL注入、命令注入)、跨站脚本漏洞(XSS)、跨站请求伪造漏洞(CSRF)、文件上传漏洞、路径遍历漏洞等。这些漏洞常见于Web应用程序的开发不规范或配置不当,攻击者可以通过利用这些漏洞来获取无授权的访问或者控制目标系统。 漏洞利用技术主要包括:代码注入(如SQL注入、远程命令执行)、会话劫持与干扰(如会话劫持、会话劫持预防、会话干扰攻击)、文件包含与遍历、信息泄露利用(如敏感信息泄露、漏洞利用)、中间人攻击、点击劫持等。这些技术是攻击者在发现漏洞后利用漏洞实施攻击的具体方法。 解题方法主要包括:寻找目标站点、分析目标站点、漏洞检测与利用、数据包截获与分析、Webshell的利用与部署、绕过访问控制(如绕过IP限制、用户认证绕过)、漏洞修复与防御等。这些方法是CTF比赛中参赛者通过解题来获取Flag的具体步骤。 综上所述,CTF Web思维导图涵盖了Web漏洞类型、漏洞利用技术和解题方法。掌握这些知识和技能能够帮助参赛者更好地分析和利用Web漏洞,从而在CTF比赛中取得优异的成绩。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值