CTF_论剑场_web1

最新推荐文章于 2023-07-17 19:12:02 发布
最新推荐文章于 2023-07-17 19:12:02 发布
阅读量577 收藏 1
点赞数
分类专栏: CTF_论剑场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ch_an_ger/article/details/101148171
版权

这题还是看代码审计,
在这里插入图片描述
关于payload的说发有很多说法的有的说这个extract()函数能对已有变量进行值覆盖,但是我自己的解释还是觉得突破点在file_get_contents()函数,这个函数本是用来读取文件的,但是现在读取的是一个字符串,所以这个函数返回到$c的值就为空,所以此时应该传入a参数的值为空来拿到flag
在这里插入图片描述

crazy' 夏末
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安全攻防知识-7】CTFweb(1)
qq_26579613的博客
06-01 4229
ctf-web题型总结
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF练习-Web1简单登录
weixin_43992606的博客
06-25 1195
CTF初入门小白,记录做题过程。
CTFshow-Web入门》01. Web 1~10
学习学习学习......
11-18 1956
网页源码查看、抓包查看响应数据包、robots.txt 文件泄露、phps 文件泄露、网站备份压缩文件泄露、版本控制泄露、vim 缓存信息泄露、cookie 信息泄露。
从0到1的CTF之旅————Web(1)
qq_44373268的博客
06-15 833
今天学习了一下web感觉受益匪浅,小做几道题练练手,纯新手勿喷 ————————————————————————————————————————————第一题:[极客大挑战 2019]EasySQL 首先思考的便是最简单的登录绕过。在逻辑上面,当点击登录按钮后会取你输入框的值与数据库中进行对比。 登录绕过是最基础的,就是要将这句SQL语句给屏蔽掉,进而让此语句的执行结果始终为真。输入下面万能密码 当执行此语句时 ,就会变成` 此时的 1=1 恒为真,在 或 状态下有一个为真则始终为真,此时可绕过登录。得到f
ctfshow-萌新-web1( 利用intval函数的特性获取敏感数据)
热门推荐
wangyuxiang946的博客
09-08 1万+
ctf.show 萌新模块的web1关, 这一关考察的是intval()函数转换字符串时的特性以及SQL的拼接绕过 这一关直接就给了源码, 并提示我们 id = 1000 时, 就是flag 先分析一下源码, 首先是 intval()函数将参数id转换为数值型, id > 999直接die()结束程序, 也就是说我们传递的id不能大于 999, 明知道1000就是flag, 但不能直接传1000, 否则程序会直接die()结束, 传递的id 即不能大于999, 又需要查询 1...
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF_Web_docker:CTF_Web的码头工人
05-14
CTF_Web_dockerCTFWeb和Bin最大的区别在于,一旦比赛结束,Web选手就抓瞎了,没办法复现EXP。因此,打算收集整理一些自己做的Web题环境,方便复现。Enjoy it.
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
一套简单的ctf_web源码环境.zip
10-02
一套简单的ctf_web源码环境。
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
BUUCTF——Web1
2201_75331136的博客
07-17 552
打开靶机,出现以下页面查看源代码发现Secret.php,访问后出现以下页面接着我们使用bp进行抓包在请求头中添加字段发送请求,出现以下页面根据提示更改User-Agent为发送请求,出现以下页面提示要是来自本地的访问请求,联想到127.0.0.1,需要X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。出现flagflag为。
CTFWeb 基础】总结笔记以及实例题(1)
weixin_45871855的博客
03-19 4392
自己总结的基础笔记,仅供查考 1.查看源代码 例:http://lab1.xseclab.com/base1_4a4d993ed7bd7d467b27af52d2aaa800/index.php (F12或Ctrl+U) 2.查看HTTP请求头或响应头 使用抓包工具(burp)查看HTTP请求,在 Repeater 中查看响应头 例:http://lab1.xseclab.com/base7_eb...
CTFweb题库笔记(难度1)
cocoaiu的博客
08-11 8003
CTF笔记
CTF-Web1
Zhang_hongchao的博客
12-27 315
题目:http://114.67.246.176:16452/ 在这个网址中找到flag。 在网页源码中找到一段注释的代码 : <!--flag{91acd0e4288cca5d5876080d383baac7} --> 即为flag。
CTF论剑web题目(持续更新)--web1
jiuyongpinyin的博客
07-18 281
WEB1 又是自己不擅长的东西,提前声明,这道题我是蒙出来的,我把变量a=输入上去的时候,不小心碰到了回车,flag就出来了,所以这个道题事后诸葛亮一下。 首先,file_get_contents()这个函数是把一个文件读入到字符串中,我个人理解的就是函数后面的括号里只能跟一个文件的名字或者一个URL,所以这个函数返回的就为空。 其次告诉我们变量a和变量c如果相等,返回flag,那么就应该构造如下pyload: 但是因为变量c是空的,所以其实只需要输入变量a,值为空就可以。 注:本人萌新,不对之处欢迎指
CTF-Web1-(涉及cbc字节翻转攻击,难度大)
→_→
07-04 2416
实验吧平台维护到现在一直都还没维护好,我的好多松果都凉凉了,现在到了暑假特意把以前做过的题翻来重新写成博客,主要的目的是为了学习做题的思路,当然还有的题当时不会做,也不懂原理,经过一年多的学习,也了解了一些,所以就特意写写加强记忆。实践才是真理!(唯一可惜的是没有原题环境练习了) 1.简单的的登录题 当时,这一题看标题以为是很简单的SQL注入啥的,结果看到50的分值,通过率只有15%,可见其难度之高,所以这里就参考别人的思路来展示: 作者:pcat 1.做题的初步收集、整理 i.
CTF_论剑 Web WriteUp(持续更新)
qq_41995976的博客
05-19 6297
文章目录web1web9流量分析web2web5web6web11web13日志审计web20 web1 利用的是变量覆盖漏洞 http://www.mamicode.com/info-detail-2314166.html payload:http://123.206.31.85:10001/?a=&c=aaaaa web9 题干: 要求你PUT一串信息"bugku" 才能获得flag...
CTF_论剑 web1
W3rsn
04-13 178
打开链接之后看到下面的景象 这个考的是变量覆盖漏洞,构造如下URL http://xxxx/?a=&b= 然后就拿到flag了,最后多了一个空格小心不要复制到了
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了提供一个安全的环境,让参赛选手能够在其中进行攻击和防御的实战训练。 在ctf_awd_platform中,参赛选手将分为多个小队,每个小队都需要同时进行攻击和防御。比赛的过程中,参赛选手需要使用各种技术和工具,对其他小队的系统进行攻击,尝试获取对方的旗帜。同时,参赛选手也需要保护自己的系统,防止其他小队进行攻击并窃取自己的旗帜。 ctf_awd_platform提供了一个仿真的网络环境,模拟了现实世界中的网络系统。参赛选手可以在这个环境中进行攻防实战,通过解决各种网络安全问题来提升自己的技能。 ctf_awd_platform不仅能够帮助参赛选手提升网络攻防技术,还能够提高其团队合作能力和解决问题的能力。在比赛中,参赛选手需要与队友紧密配合,共同制定攻击和防御策略,以获取最佳的比赛成绩。 总体而言,ctf_awd_platform是一个能够帮助参赛选手提升网络安全技术和团队合作能力的AWD平台,通过实战演练来提高参赛选手的技能水平,并为他们在网络安全领域的职业发展打下坚实的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值