ctf—web合集

置顶 Wcbddd

已于 2023-09-18 13:38:36 修改

阅读量631

点赞数

分类专栏： CTF web 文章标签： web安全

于 2023-07-24 21:40:35 首次发布

本文链接：https://blog.csdn.net/HAI_WD/article/details/131905607

版权

CTF 同时被 2 个专栏收录

81 篇文章 1 订阅

订阅专栏

web

37 篇文章 0 订阅

订阅专栏

0x00 前言

本篇主要是针对不同的做题方法和思路将wp进行分类，从而更方便大家进行索引。

CTF 加解密合集
CTF Web合集
网络安全知识库

文中工具皆可关注皓月当空w 公众号发送关键字工具获取

PHP

1. 变量空间绕过

ctfshow-web-红包题耗子尾汁

2. session 反序列化

ctfshow—web—一切看起来都那么合情合理

3. setTimeout绕过

ctfshow-web-新年好?

4.disable_functions绕过

ctfshow-web-红包题第七弹
ctfshow-web12

5.字符串格式化 sql注入绕过

php 字符串格式化绕过SQL注入
ctfshow—萌新赛—给她

6.md5

6.1 条件竞争

ctfshow-web-红包题第六弹

6.2 md5弱相等

ctfshow-web5

7…user.ini绕过

ctfshow-web13 文件上传

8.无字符打印

ctfshow-红包题第二弹

9.session 判定

ctfshow-web11

mysql

1.mysql where 绕过

ctfshow-web-红包题辟邪剑谱

常规漏洞

1.SQL注入

1.1 Cookie 注入

ctfshow-web-web15 Fishman

1.2 order by

ctfshow- web1（50 point）

1.3 基础sql注入

ctfshow-web2

1.4 空格绕过

ctfshow-web6
ctfshow-web7

1.5 逗号绕过

ctfshow-web8

1.6 md5注入

PHP-MD5注入
ctfshow-web9

1.7 with rollup

ctfshow-web10 with rollup 绕过

2.SSRF

ctfshow-web-红包题第九弹

3.文件包含

ctfshow-web3
ctfshow-web4

漏洞利用

1.log4j

ctfshow—web—Log4j复现

2.git源码泄露

ctfshow—萌新赛—给她
ctfshow-web-红包题第七弹

3.弱口令

ctfshow-萌新专属红包题

技巧

1.nl 指令

ctfshow-web-【nl】难了

2.本地管理员

看雪kctf—签到题—生死较量
如何伪造http头，让后端认为是本地访问

白给&签到

注册

ctfshow-web-红包题葵花宝典

F12

ctfshow—web签到题

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Wcbddd

关注关注

0
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
ctf—web合集

本篇主要是针对不同的做题方法和思路将wp进行分类，从而更方便大家进行索引。
复制链接

扫一扫

专栏目录

CTFSHOW WEB题目

qq_45655564的博客

08-09

2923

web签到题网页原代码中发现这个，base64解码就是flag web2 这道题目就是最简单的SQL注入了发现万能密码可以成功。于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬，不一定是完全正确的。这样的话直接闭合前面的单引号就行了。之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un

CTF Web解题大解密：如何找到神秘的Flag，成为夺旗赛的MVP

12-29

在网络安全的领域里，CTF（Capture The Flag）竞赛已经成为了一种检验技能和提升知识的重要方式，特别是Web解题部分，它将理论与实践紧密结合，让参赛者在寻找隐藏的Flag中体验到黑客攻防的乐趣。为了在CTF Web解题...

参与评论您还未登录，请先登录后发表或查看评论

CTF web题常用解题工具

qq_43561221的博客

03-09

6729

基础工具：Burpsuite，python，firefox

ctfshow红包题辟邪剑谱

最新发布

2301_81396683的博客

07-16

316

我们想要查询一个数据，但是如果数据太长了，那么where的语句就会直接把后面的内容删除（忽略）只会对合法的长度进行查询。就是因为网上的教程寥寥无几，有一个讲的不明不白。然后，我们直接登录我们刚注册的账号，记住：注册账号中空格后面的就丢弃了，那个只是用来防止where查询的。所以，我们其实可以查看源码，这里是对username进行了过滤，所以我们的下手点一定是password。我们在注册账号的时候，多要点空格这样防止where的sql语句，密码就随便输入；我们扫描这个网站，有一个www.zip的压缩包；

CTF工具使用汇总

qq_47804678的博客

12-20

4672

做题很多的时候都会用到工具，我现在也来简单汇总一下我现在用到过的工具，很多都可以在github或者CTFHUB上直接下载到。

ctfshow-web-红包题辟邪剑谱

HAI_WD的博客

09-14

390

文中工具皆可关注皓月当空w 公众号发送关键字工具获取。

有了这个网络安全面试题，面试就像开了挂！（附PDF）

lvaolan的博客

02-26

855

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

ctf web培训资料pdf

10-06

通过url访问靶机web站点，观察页面中的功能点，对可能存在漏洞的页面进行探测。常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传

CTF工具合集

04-09

ctf web解题找flag夺旗赛概述、原理及应用.pdf

05-13

### CTF Web解题找flag夺旗赛概述、原理及应用 #### 一、概述 CTF（Capture The Flag，夺旗赛）是网络安全领域内一种极为流行的竞赛形式，尤其是在Web安全领域。这种竞赛模式旨在模拟真实世界的网络安全挑战，...

CTF Web学习笔记

01-11

### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术，这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中，经常出现的情况是将flag隐藏在图像、音频...

CTFshow--web--红包题第六弹

weixin_45908624的博客

01-29

944

ctfshow--web--红包题第六弹

[代码审计][备份泄露][时间盲注]CTFSHOW----WEB15(不会做以后补充)

Y4tacker的博客

08-06

7228

文章目录备份文件代码审计备份文件首先题目hint里面说了是源码泄露，我自己随便输入也发现了www.zip，但是还是走流程吧，用dirsearch工具，从这里我们也能发现突破口代码审计首先这是它给的压缩包，从里面我看了一下发现关键文件2020.php 发现是基于X-Forwarded-For，也就是XFF头的注入 <?php require_once './include/common.php'; $realip = real_ip(); $ipcount = $DB->count("

ctfshow-红包题第六弹

XYH_233的博客

03-13

848

CTFshow红包题第六弹，正解

CTFshow-web-萌新专属红包题

qq_68581192的博客

11-30

267

尝试输入，发现一直都是报错，随便输入账号和密码报错，用户名admin仍然报错（猜了一下用户名可能是这个），我们尝试对此进行爆破，利用burp的intruder进行爆破，爆破出用户名和密码（前提是字典里存在用户名和密码的值），发现用户名是admin，密码是admin888。我们抓取登录那一瞬间的包，将他重发（repeater），将他重新发送，我们查看响应包，发现有个flag，但是里面的值跟提交的形式不一样，应该是加密了。利用工具进行解密，发现是base64的加密，flag出现。

[ctf.show.reverse] 红包六

weixin_52640415的博客

04-15

1058

下来是个压缩包，解开后一个原码，解码后是notflag，发现压缩包有5k大而解出的java文件只有1k，显然包里还有内容未解出用010打开包发现有两个EzJar.class文件，手工切出解压 import zlib inflator = zlib.decompressobj(-zlib.MAX_WBITS) f=open('EzJar.jar','rb') f.seek(659) a=f.read(3248) f.close() x = inflator.decompress(a) f=open('

ctfshow web入门爆破web25详解

m0_73860001的博客

07-11

749

这里说一下为什么这样做，因为如果我直接打开终端，接着输入【tar -zxvf php_mt_seed-4.0.tar.gz】的话我这台虚拟机上会报错，但我对这个虚拟机不熟悉，去找了一些资料有以为博主是输入了绝对路径解决这个报错的，【tar -zxvf 绝对路径】，我懒得去找绝对路径就有感而发从那里试了试，没想到成功了。4.随后【下载】那里会出现一个【php_mt_seed-4.0】的文件夹，右键出现菜单点击【从这里打开终端】这里我是在【./php_mt_seed 2078517280】加了一个.c，

ctfshow-红包题第七弹

XYH_233的博客

03-15

465

CTFshow

ctf.show_红包题第六弹

m0_74445847的博客

04-20

262

3.在极短的时间内，传上不同的key2.dat，通过SHA-512哈希值的比较。2.先上传一模一样的key.dat，通过md5值的比较。这里放了竞争的两种格式。

ctf web 思维导图

12-18

CTF（Capture The Flag）是一种网络安全竞赛，其中的Web领域涉及到了网页应用程序的漏洞挖掘和利用。下面是CTF Web思维导图的简要解释： CTF Web思维导图主要分为三个方面：Web漏洞类型、漏洞利用技术和解题方法。 Web漏洞类型包括：注入漏洞（如SQL注入、命令注入）、跨站脚本漏洞（XSS）、跨站请求伪造漏洞（CSRF）、文件上传漏洞、路径遍历漏洞等。这些漏洞常见于Web应用程序的开发不规范或配置不当，攻击者可以通过利用这些漏洞来获取无授权的访问或者控制目标系统。漏洞利用技术主要包括：代码注入（如SQL注入、远程命令执行）、会话劫持与干扰（如会话劫持、会话劫持预防、会话干扰攻击）、文件包含与遍历、信息泄露利用（如敏感信息泄露、漏洞利用）、中间人攻击、点击劫持等。这些技术是攻击者在发现漏洞后利用漏洞实施攻击的具体方法。解题方法主要包括：寻找目标站点、分析目标站点、漏洞检测与利用、数据包截获与分析、Webshell的利用与部署、绕过访问控制（如绕过IP限制、用户认证绕过）、漏洞修复与防御等。这些方法是CTF比赛中参赛者通过解题来获取Flag的具体步骤。综上所述，CTF Web思维导图涵盖了Web漏洞类型、漏洞利用技术和解题方法。掌握这些知识和技能能够帮助参赛者更好地分析和利用Web漏洞，从而在CTF比赛中取得优异的成绩。