bugku关卡攻略(努力更新ing)

于 2024-07-30 19:22:45 发布
阅读量214 收藏 1
点赞数 7
文章标签: 安全 web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C233333235/article/details/140804204
版权

WEB

计算器

这一关我们打开靶场之后发现一个这样的页面

直接右键点击查看源代码,在最下面有一个名为js/code.js的js文件,点击进去即可找到flag

滑稽

这一关我们进去后进入到一个很有趣的界面,直接按下f12就可以找到flag

GET

进入靶机后我们发现直接告诉了我们有个文件包含漏洞,所以尝试给他添加参数?what=flag,就可以直接获得flag

POST

这一关相比上一关只是将get请求改为了post请求,这里可以尝试使用postBurpSuite抓包后把请求放到重放器中,在右侧修改请求方法为POST,请求主体参数为what=flag即可。也可以使用hackbar插件勾选postdata后输入what=flag点击execute即可

矛盾

这一关也告诉我们这里有一个文件包含漏洞,我们将参数添加到url中尝试访问flag参数,发现只回显了flag的字样

然后无论我们输入什么,只要是单独的数字或者字符,他都只会将我们输入的内容返回,但是当我们输入开头为数字,第二位及之后有字符的参数时,他就会显示真正的flag了(这里的as6d1sa65d1asd随便输入字母就行)

Atopos`
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
计算机游戏70,70亿人大全 七十亿人全关卡双星代码通关
weixin_42377196的博客
06-24 1万+
70亿人是一款逻辑编程游戏,玩家们需要使用代码来安排员工们工作喔,很多玩家可能想知道70亿人大全、七十亿人全关卡双星通关呢,跑跑车游戏网为大家带来了介绍。*70亿人大全【通关原则】·指令数量挑战:规则:使用的代码行数少于系统规定的行数代码尽量复用就不说了,是程序员都懂,只针对游戏本身的规则注意以下原则1.选取简单的方案,尽量通过重复简单动作达成2.不要追求代码优雅,比如确保工人不死或所...
euclidea4_Euclidea几何构建9.4通关
weixin_31614753的博客
02-15 1040
Euclidea几何构建全关卡通关大全玩腻味了哪些大开发商的游戏,小编给大家推荐一款挺有意思的小游戏Euclidea。Euclidea几何构建是一款具有理科生浪漫的游戏,这是一款数学几何风格的休闲益智类手游,玩法就是尺规做图,根据每个关卡给出的道具和要求,以在最短的步骤内解出答案。想说这游戏的趣味就是难度不是一点二点的,有兴趣的大家可以试试。euclidea几何构建全关卡通关Euclide...
BugkuCTF 部分题解(随缘更新)
volcano的博客
12-30 7995
之前做的题在 佛系更新 等假期抽空做 bugku佛系更新MISC简单取证1南城旧梦成果狗成果狗 MISC 简单取证1 下载得到windows系统下一个目录,获取用户名和密码需要用SAM和system两个文件。 把SAM和SYSTEM文件放到Win32文件夹下,运行mimikatz,执行命令 所以flag{administrator-QQAAzz_forensics} 南城旧梦 mmz.bmp文件尾有一段DE@@=<6J:DB625K4,rot47解码后得到stoolkeyisqeadzc 意思是使
bugku-渗透测试1通关 wp
qq_45414878的博客
10-13 4921
bugku 渗透测试1 靶场通关手册,祝你快速通关!
BugkuCTF笔记(持续更新
晚风不及你
04-13 1127
BugkuCTF(1)WEB2/计算器 WEB2 听说聪明的人都能找到答案! 打开看一眼,我是不是聪明的人。 满屏猥琐表情,并且建议大家可以尝试看到最后。 看这一堆猥琐表情是看不出什么来了,还是看看源代码吧。 body头里注释里静静的躺着大写的flag flag KEY{Web-2-bugKssNNikls9100} 提交一下是不是可以通关。OK解决。 因为我以前做过,所以它会显示yo...
CTF BugKu平台——Crypto篇刷题记录(后续更新
Aluxian_的博客
05-31 2964
CTF BugKu平台——Crypto篇抄错的字符 抄错的字符 描述: 老师让小明抄写一段话,结果粗心的小明把部分数字抄成了字母,还因为强迫症把所有字母都换成大写。你能帮小明恢复并解开答案吗:QWIHBLGZZXJSXZNVBZW QW1h base64解码为 Ama BL92 base64解码为 _v ZXJ5 base64解码为 ery X2Nv base64解码为 _co b2w= base64解码为 ol flag{Aman_very_cool} 这题出的确实好u1s1 出题人完胜! ...
Unity 实用小技巧(更新ing
YF云飞的博客
07-23 1万+
Unity的实用小技巧(更新中)
BUGKU--web详解
qq_49422880的博客
05-28 1958
web5-web?前言Web4Web5Web6Web7Web8game1Web11社工-伪造一级目录一级目录 前言   听说bugku的题很适合新手我就来了,感觉前几题都比较简单也没什么好总结的,就从第四题开始吧,后面要是碰到简单的估计只会微提起几句,大家要是有不理解的知识点,可以私信我。 Web4   就是考察简单的代码审计,只需要传递的what的变量等于flag即可,于是我们可以构造一个payload,用win10的cmd发送,用Burpsuite抓包返包或则firefox的harbar也可以完成这个
DVWA通关零到一【全】
热门推荐
WX公众号-小白学安全
10-28 4万+
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
外企面试顺利通关
08-19
【外企面试顺利通关】 在面试外企的过程中,求职者需要关注的不仅仅是自身的技术能力,更重要的是展现出自己的综合素质和沟通能力。以下是一些关键点,可以帮助你在面试中取得成功。 1. 回避硬伤的三项注意...
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个挑战或者关卡。在这样的比赛中,参赛者...
HackTheGame完全.doc
03-01
HackTheGame完全
CISP-PTE考试靶场通关
11-18
CISP-PTE考试靶场通关,来自互联网,感谢原作者。
考研考研.pdf
06-28
考研考研.pdf
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 356
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
网络战时代的国家安全:策、技术和国际合作
2301_79955948的博客
07-24 1300
网络战时代的国家安全涉及到策、技术和国际合作等多个方面。
如何安全的申请SSL证书
2401_86337938的博客
07-22 1541
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
哪个邮箱最安全最好用啊
Zoho_Mail的博客
07-23 1377
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆转的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
webgoat通关
09-18
webgoat是一个非常好的渗透测试教学平台。在webgoat通关的过程中,有一个关卡是关于路径遍历的。路径遍历击是一种常见的Web漏洞,击者可以通过构造特殊的请求,绕过文件上传的限制,获取到系统中的敏感文件。在webgoat中,路径遍历关卡主要包括上传文件和绕过文件名过滤两个方面。 在上传文件的过程中,击者可以尝试使用路径遍历字符来绕过文件上传的限制。例如,可以尝试在文件名中使用"../"来跳出当前目录,进入上级目录,从而上传到系统中其他目录中。另外,还可以尝试使用编码来绕过文件名过滤,比如使用URL编码来表示路径遍历字符。 绕过文件名过滤也是路径遍历关卡中的一个重要部分。当系统对上传文件的文件名进行过滤时,击者可以利用文件名过滤的不足,通过构造特殊的文件名来绕过过滤机制,从而上传恶意文件。一种常见的绕过方法是使用编码来表示文件名中的特殊字符,比如使用URL编码来表示路径遍历字符。 综上所述,webgoat通关主要包括上传文件和绕***需要注意的是,对于不同的关卡,可能需要使用不同的击方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值