攻防世界baby_web

最新推荐文章于 2024-05-17 11:38:51 发布
最新推荐文章于 2024-05-17 11:38:51 发布
阅读量35 收藏
点赞数 1
文章标签: php 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80339723/article/details/134313988
版权

攻防世界web进阶区baby_web,题目打开页面为如下

题目描述为想想初始页面是哪个,将1.php改为index.php再次请求,内容依旧没有改变

点击F12进入开发者模式,再次请求就可以看到index.php文件,查看消息头即可看到flag

FLAG

flag{very_baby_web}

Kio鱼
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界baby_web详解
Fightever_的博客
09-14 731
思路:刚看到这个题的时候,我的第一反应是index.php,但是服务器并没有回响,并且URL栏中index.php又变回了1.php,然后我F12查看源代码,源代码中没有什么问题。最后我启动BP,但是我刚开始是用BP查看Request的Response,但是三个请求的响应都没有什么有效信息。于是我采用了scan来扫描这个网站,因为Site map会显示网站结构(毕竟这个题目就是网页隐藏)直接用Burp Suite内置浏览器打开链接,以防使用其他浏览器时开启代理受到其他网页的干扰。
攻防世界--baby_web
qq_73611185的博客
09-09 256
题目提示说想想初始页面,尝试将1.php删除直接进入网页还有更改为index.php网页都没反应仍然是1.php,没有思路了就看了wp。成为ctf全栈之路之web第九题。
攻防世界 web进阶区 baby_web
m0_51395584的博客
06-15 880
攻防世界 webbaby_web
攻防世界-webbaby_web
weixin_73625393的博客
10-30 390
1.根据题目描述是关于初始化页面,网页的初始化页面一般为index.php、index.html、index.jsp、index.asp等。3.在场景页面按F12,看源码中的网络,这里还没有内容,需要在上方url中再次发送/index.php请求。2.在页面url后添加/index.php,发现输了内容,但没显示,直接跳转到1.php了。发现flag值:flag{very_baby_web}如果页面不对会直接报错,并显示url信息。发现index.php存在,点击查看。
baby_web (攻防世界)
HackerYY的博客
11-23 2804
攻防世界baby_web 内附解题过程
攻防世界-baby_web详解
Mr_helloword的博客
08-10 8759
baby_web 题目描述:想想初始页面是哪个 根据提示我们尝试/index.php页面: 发现网页直接跳转到1.php我们尝试抓包分析 抓包:(index.php) 点 Foward放过当跳转到1.php时放到repeater模块 发现flag但是隐藏了 falg: flag{very_baby_web} ...
[wp] 攻防世界 baby_web
MercyLin的博客
09-27 9873
emmm,这就是个签到题 这里提一下两种做法,第一种是直接抓包 第二种是
【愚公系列】2023年05月 攻防世界-Webbaby_web
热门推荐
时光隧道
12-26 3万+
Burp Suite是一款常用的Web应用程序测试工具,能够帮助渗透测试人员对Web应用程序进行安全测试和漏洞挖掘等工作。其主要特点包括拦截、代理、扫描、攻击、重放、验证、编码和协作等功能。可以用于测试各种类型的应用程序,包括Java、Python、.NET等,同时也支持各种操作系统和浏览器。
攻防世界 Web baby_web
Emjl__的博客
05-12 336
题目提示 想想初始界面是哪一个。 打开题目只有一行hello world。这个的确是学每一门编程语言最初的程序。 但不是这道题所要的。 将地址栏 1.php 改为 index.php 。网页没什么变化,但是打开开发者工具检查响应,就能发现的确存在 index.php 存在,flag就在响应头中。 flag{very_baby_web} ...
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界miss-01,杂项misc太湖杯
11-01
攻防世界miss_01,杂项misc太湖杯。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127630023
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
如何同步管理1000个设备的VLAN数据?
weixin_68261415的博客
05-15 732
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集中管理,降低配置和维护的工作量。
FebHost:为什么企业需要注册保加利亚.BG域名?
05-16 373
品牌本土化战略的实施同样离不开.BG域名的助力。拥有.BG域名的企业可以显著提高其在来自保加利亚的搜索请求中的可见度和排名,吸引更多的目标访问者,提升用户参与度。在当今全球化的商业环境中,对于与保加利亚市场息息相关的企业而言,选择合适的域名至关重要。面对日益饱和的通用顶级域名市场,.BG提供了一个具有区域特色的替代选择,帮助企业在保加利亚市场中树立一个鲜明且难忘的网络形象。综上所述,对于志在保加利亚市场塑造坚实网络地位的企业、组织或个人而言,.BG域名是一个明智且具有战略意义的选择,值得业界关注和利用。
jenkins插件之xunit
最新发布
made4971的博客
05-17 297
填写一下命令,这个命令是docker中执行phpunit单元测试,请根据你的实际情况调整php执行文件路径。一章中phpunit.xml中配置的junit生成结果的地址需要保持一致。在测试报告列填写reports/junit.xml , 注意此处地址和。您的项目 - 配置 - Build Steps, 新增。您的项目 - 配置 - 构建后操作, 新增。Build Step选择 执行SHELL。超时时间根据实际情况配置。搜索xunit并安装。
等保测评实体分享three
ddcajdkdl的博客
05-16 923
它除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击的目标。NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
攻防世界web_php_unserialize
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP的序列化和反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize比赛就是通过挖掘实际漏洞并利用它们对目标进行攻击的比赛。 攻防世界中的web_php_unserialize比赛通常会考查参赛者对PHP反序列化漏洞的深入理解和实际应用能力。比赛中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参赛者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参赛者需要在比赛中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理解。PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参赛者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比赛中可能会给出一些被漏洞的代码,参赛者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize比赛旨在锻炼参赛者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理解和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值