2024年网安最新ctfshow-WEB-web11( 利用session绕过登录验证)_ctfshow web11

最新推荐文章于 2024-06-02 11:58:34 发布
最新推荐文章于 2024-06-02 11:58:34 发布
阅读量388 收藏 3
点赞数 5
分类专栏: 程序员 文章标签: 前端 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84297796/article/details/138418729
版权

ctf.show WEB模块第11关用session中保存的密码进行登录验证, 将 session中保存的密码清空即可绕过

页面中直接给了源码, 很明显是让我们进行代码审计,  源码中将我们输入的密码与 session中保存的密码进行匹配, 两个password相同即可登录成功

右键检查或者按F12, 进入开发者模式, 查看浏览器的session, 后端代码就是拿这个session的value值与我们输入的密码进行匹配, 由于这个value值我没解密出来, 所以这里干脆一点, 直接删除让变成空, 而后我们密码什么也不输, 也会是空, 空=空, 从而登录成功

也可以使用抓包软件修改, 将PHPSESSID和password全改成空即可登录成功

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84297796
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java Web基于Session登录实现方法
09-03
主要介绍了Java Web基于Session登录实现方法,涉及Java针对session的操作及表单提交与验证技巧,具有一定参考借鉴价值,需要的朋友可以参考下
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种安全挑战,包括Web漏洞利用、密码学、逆向工程等。这里的"菜狗杯"可能是指比赛的昵称或名称,暗示这是一个初级到中级难度的竞赛,适合新手和进阶者参与。 ...
ctfshow web11详解,小白补充session和PHPSESSID相关知识
weixin_73562787的博客
07-30 317
当用户访问php网址时,服务器会将生成的PHPSESSID值发送给用户的浏览器,并保存在名为PHPSESSID的cookie中,浏览器在随后的请求中会自动将这个cookie发送回服务器,这样,服务器可以通过这个唯一的标识符识别用户,并获取与用户关联的会话数据。PHPSESSID cookie的值是随机生成的,并且大部分情况下是基于用户的会话信息和一些其他参数生成的哈希值,这样做是为了确保PHPSESSID的唯一性和安全性,以防会话劫持和其他安全漏洞。的,通常以文件或数据库的形式保存。
ctfshow-web入门-信息搜集(web11-web20)
最新发布
Welcome To Myon'Blog !
06-02 1272
X探针:又名刘海探针、X-Prober,是一款由 INN STUDIO 原创主导开发的开源 PHP 探针,拥有美观简洁的界面、极高的运行效率和极低的资源占用,能高精度显示服务器的相应信息。php 探针:用来探测空间、服务器运行状况和 PHP 信息,探针可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。雅黑 php 探针:每秒更新,不用刷网页,适用于Linux系统,可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。
ctfshow 做题 web模块 web11~web14
Goodric的博客
07-23 1695
打开环境,可输入密码登录。 并且给出了源码, 过滤了这些字符: > $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; 满足这个条件时,输出 flag :
ctf.show_web11
qq_45829213的博客
02-17 291
源码: <?php function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,"",$strParam); } if(strlen($password)!=strlen(replaceSpecialChar
CTF.show:web11
qq_46230755的博客
01-15 220
代码审计 <?php function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,"",$strParam); } if(strlen($password)!=strlen(replaceSpecialChar
ctfshow-web入门-信息搜集wp
m0_53567065的博客
10-31 580
ctfshow-web入门-信息收集wp
blog.rar_java web_java web netbeans_web登录
09-23
【标题】"blog.rar"是一个压缩包文件,其中包含了与"Java Web"相关的项目资源,特别是使用"NetBeans"开发的Web登录功能。这个项目可能是一个基础的Web应用程序,允许用户进行注册和登录操作,同时可能还实现了分页...
Web后端开发-使用Session会话跟踪技术,实现用户登录、注销
03-28
Web后端开发中,会话(Session)跟踪技术是一种常用的方法,用于在客户端与服务器之间维护用户状态,尤其在用户登录和注销过程中扮演着重要角色。本文将深入探讨Session的工作原理、如何实现用户登录与注销,以及...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
WebAPI与JWT(JSON Web Tokens)身份验证是一种常见的安全机制,用于保护WebAPI接口免受未经授权的访问。JWT令牌提供了一种轻量级的方式来进行身份验证和授权,它允许服务器在客户端之间安全地传递信息,而无需存储...
2024网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 745
任务环境说明:服务器场景:Server1。
CTFweb篇-Session包含
weixin_44597701的博客
08-07 3894
什么是Session Session就是保存在服务器的文本文件。 默认情况下,PHP.ini 中设置的 SESSION 保存方式是 files(session.save_handler = files),即使用读写文件的方式保存 SESSION 数据,而 SESSION 文件保存的目录由 session.save_path 指定,文件名以 sess_ 为前缀,后跟 SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的数据即是序列化之后的 SESSIO
session 身份绕过漏洞
weixin_45653478的博客
03-22 498
session 主要用于身份验证,登陆后的 session 保存在服务器,如果 session 存在网站目录,或者 session 存储于数据库,如果存在 sql 注入或者目录浏览等漏洞,得到这个用户登录后的 session,恶意用户得到这个 session 可以伪造进行登录
【BUUCTF】Web题解
xuanyulevel6的博客
08-08 5187
【BUUCTF】Web题解
10-ctf-web3
a1533759138的博客
07-14 129
10-ctf-web3
ctfshow 信息收集 web11-20
weixin_58519918的博客
01-19 2309
Wed11(域名) “域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息”提示信息,之后在域名解析查询(A/Txt/Cname/Mx/Srv/Aaaa...)这个网站上进行域名查询。 在方框内输入相关的域名(ctfshow.com)并在下拉处改变样式为Txt之后查询 就得到了falg。 Web12(管理员) “有时候网站上的公开信息,就是管理员常用密码”看题是进入管理员界面的所以打开之后在url后输入/admin进入管理员界面 他需要输入用户名和密码,admin应为用户名,密码
CTF show WEB10
羽的博客
02-17 4198
题目地址:https://ctf.show 打开页面点击取消按钮,出现源码。 $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; 从源码中可以得知几乎把注入用到的关键词过滤的差不多了。 正则表达式中的 /i 表明无法大小写和双写绕过关键词。 ...
某书x-s和web_session
05-02
X-S和Web Session都是与网站安全性相关的概念。X-S是指“跨站点请求伪造”,也就是攻击者在使用已登录用户的网络服务时发送虚假请求,达到偷取用户敏感信息的目的。而Web Session是指用户在使用网站时创建的一种会话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值