攻防世界XCTF-WEB入门12题解题报告

于 2024-07-26 15:21:24 发布
阅读量606 收藏 16
点赞数 9
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HUANGXIN9898/article/details/140716668
版权

WEB入门题比较适合信息安全专业大一学生,难度低上手快,套路基本都一样

需要掌握:

  • 基本的PHP、Python、JS语法
  • 基本的代理BurpSuite使用
  • 基本的HTTP请求交互过程
  • 基本的安全知识(Owasp top10)

先人一步,掌握WEB安全入门诀窍,相信我,你不会后悔滴~

攻防世界XCFT刷题信息汇总如下:攻防世界XCTF黑客笔记刷题记录,收藏一下哈~

第一题:考察浏览器控制台的查看

解题报告:

右键不管用,那就打开控制台咯~

提交flag:cyberpeace{2d7647b131421b597501c7e63ddaa879}

第二题:考察网站robots页面的查看

解题报告:

进入robots.txt找到了线索

顺着线索找到了flag:cyberpeace{3b9d4fcca0aaba7f46f09e6403019a80}

第三题:考察备份文件名的后缀

解题报告:

index.php加个bak不就是备份文件嘛,自动下载了

从文件中找到了flag:Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

第四题:考察HTTP请求和应答报文

解题报告:

从控制台可以看到cookie中的值为cookie.php,访问这个页面就是咯

从HTTP的应答头里面找到flag:cyberpeace{46907c4246480ad4f5b356e1e2f1817a}

第五题:考察在线编辑页面能力

解题报告:

查看源代码,发现有个disable字段,把它改成able不就可以了嘛

浏览器右键选择,检查,就可以在线修改啦

现在按下这个按钮就可以得到flag:cyberpeace{6ac76b64319ed77f47fe1479f6e25c6f}

第六题:考察弱口令

解题报告:

弱口令我试了2次,第一次试了admin admin错了,第二次试了admin 123456对了,直接就拿到flag:cyberpeace{286d648347709bbd11ac479ee0a75f2b}

第七题:考察PHP类型比较

解题报告:

  • 要求a等于0,并且a是true,那么a可以是字符串:“ailx10”
  • 要求b不是数字,并且b大于1234,数字后面加空格就可以了

构造一个合理的请求就拿到flag:Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}

第八题:考察GET请求和POST请求

解题报告:

代理走起来,修改GET为POST,添加一个body,key是b,value是2即可

走你,拿到flag:cyberpeace{c6d40b542f6325b7330e9cbc9f094dbd}

第九题:考察代理修改请求头的字段

解题报告:

  • 添加X-Forwarded-For字段
  • 添加Referer字段

拿到flag:cyberpeace{4079533fd7bdb1611a30d037f70983bc}

第十题:考察一句话木马的利用

解题报告:

在index.php的页面下,通过POST请求一个shell字段,值为system("ls");,试图看看当前页面下有哪些文件,找到了flag.txt

访问这个文件,拿到flag:cyberpeace{cccd7f5bd0cf3b90460309eaf001d1ea}

第十一题:考察命令注入

解题报告:

试了一下几个命令,127.0.0.1;ls /home ,在这个里面发现了线索

打印这个文件127.0.0.1;cat /home/flag.txt ,拿到flag:cyberpeace{0b95886087d98c05d0773266fde8b347}

第十二题:考察JS代码审计

解题报告:

这题是真的坑,浪费时间的东西,这也太无聊了。

这个dechiffre()函数不管输入什么结果都是一样的,也就是说这是个干扰项,那密码还能在哪呢?下面一串16进制编码。

\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30

第一步:将16进制转为10进制数字

b="\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"

print(bytes(b).decode('ascii'))

#输出:55,56,54,79,115,69,114,116,107,49,50

第二步:ascii码数字转字符串

b="55,56,54,79,115,69,114,116,107,49,50"
b=b.split(",")
passwd=""
for bb in b:
  passwd += chr(int(bb))
print(passwd)
#输出:786OsErtk12

于是得到flag:cyberpeace{786OsErtk12}

至此,CTF-WEB入门题通过了~

在这里插入图片描述

程序员西西
关注
  • 9
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | XCTF攻防世界 ics-05 解题详析
等风来
05-31 3774
目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
XCTF篇:Web (新手练习区)
小明师傅博客
06-09 537
1.view_source F12调出,后复制 2.robots 这里打开robots.txt 可以查看不让爬虫爬的目录 3.backup 备份文件,后缀加 .bak 下载下来 4.cookie f12,查看加载的cookie,发现在文件里 访问查看 5.disabled_button f12把disabled删了 6.weak_auth bp爆破 7.simple_php 解释 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类.
ctf镜子里面的世界_攻防世界XCTF-WEB入门12解题报告
weixin_39877050的博客
11-18 390
WEB入门比较适合信息安全专业大一学生,难度低上手快,套路基本都一样需要掌握:基本的PHP、Python、JS语法基本的代理BurpSuite使用基本的HTTP请求交互过程基本的安全知识(Owasp top10)先人一步,掌握WEB安全入门诀窍,相信我,你不会后悔滴~攻防世界XCFT刷信息汇总如下:攻防世界XCTF黑客笔记刷记录,收藏一下哈~第一:考察浏览器控制台的查看解题报告:右键不管用...
BUUCTF 镜子里面的世界
weixin_53955759的博客
06-10 397
下载附件得到png图片
XCTF---web
空の城的博客
10-27 386
view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开页面后右键查看不了源代码,从目中可以知道小宁想要看源代码,所以按F12查看发现flag robots 目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 根据目提示,找到网站目录下的robots.txt 直接访问即可获得flag backup 目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来...
ctf镜子里面的世界_一个小编姐姐的CTF入坑之旅
weixin_39578197的博客
11-21 319
CTFSimpleAsARing✦✦ 首先自我介绍一下,我是本公众号的小编,一名普普通通的小文职,对于一名文科生来说,网络安全这个词既熟悉又陌生,我的生活离不开网络,可是我接触到的网络知识都太浅薄了。网络丰富的是我的业余生活,我可以通过网络网购,看视频,玩游戏但是背后究竟是什么支撑这些的我却一无所知。 今天的我像往常一样工作却早早的完成了工作任务,看着身边搞技术的员工都在投入自己的...
攻防世界XCTF-密码破译入门12解题报告
m0_70534726的博客
05-14 449
听说你想学习破译密码(crypto)?这可是CTF中最冷门的鸭,你可真是个奇怪的人。还不如学习WEB安全,快去渗透它吧,给个好评哟~如果你坚持要搞crypto,那就来挑战12道新手密码吧。相信我,你会转去做WEB安全的。如果你硬着皮头,搞到底,你会发现你是没朋友滴,嘿嘿,渗透大法好~ WEB安全攻防入门 作者 ailx10 会员专享¥9.99 去查看​ 攻防世界XCFT刷信息汇总如下:攻防世界XCTF黑客笔记刷记录,收藏一下哈~ ailx10 969次咨询 4.9 网络安..
攻防世界XCTFweb入门知识点、进阶提高Writeup
AugenStern的博客
08-21 864
WriteUpXCTF-Web新手入门区view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶区 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统和
6-XCTF-Web-unfinish(二次注入)
cquptcqupt的博客
08-17 300
这里写目录标一、二级目录三级目录 一、 二级目录 三级目录
XCTF攻防世界-web
yu_jing_hong的博客
09-22 324
1.查看源码 可以用快捷键ctrl+U 得到flag 2.robots robot就是机器人的意思,robots.txt就是关于机器人的一个协议文档,这个机器人指搜索引擎的蜘蛛,在《互联网搜索引擎服务自律公约》第七条有“遵循国际通行的行业惯例与商业规则,遵守机器人协议(robots协议)。这个文档是搜索引擎中访问网站的时候要查看的第一个文件,文件中会明确告诉搜索引擎允不允许访问这个网站。 访问robots.txt文档 robots.txt的两条规则 ①User-age..
xctf(web)-ics-06
i_am_not_hacker的博客
08-09 1215
进入index.php,发现可以进行id传参 使用burpsuite抓包进行爆破,抓包后,右键send to inturder,修改为对id进行爆破,然后载入字典,也可以在本地新建一个txt文件,写入1到自己认为合适的某个数,然后开始爆破。 在爆破到id=2333时,发现响应包长度不同,查看response,找到flag ...
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 923
目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
xctf 攻防世界 web
m0_55854679的博客
03-13 5296
xctf 攻防世界 web view source 原理: 查看网页源码 方法: 按F12键(如按F12没有用,可以同时按Fn+F12); cyberpeace{80816c5d107e33f3103324c8c4de1d91} 即为所要找的flag。 robots 原理: robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在
xctf攻防世界 CRYPTO高手进阶区 enc
l8947943的博客
03-13 9995
0x01. 进入环境,下载附件 目给出的是一个文件,没有后缀,放入winhex中查看,如图: 0x02. 问分析 ascii一堆ZERO和ONE,我们尝试将其转换成对应的01字符串,结果如下: 010011000110100100110000011001110100110001101001001100000111010101001100011010010100000101110101010010010100001100110000011101010100110001101001001100000110
攻防世界XCTF-WEB入门全通关
qq_35664104的博客
08-23 1784
为了更好的体验,请见我的---->个人博客 XCTFweb入门区非常简单,适合一些刚解除安全或者对网络安全常识比较了解的同学在安全搞累之余娱乐娱乐。 其主要考察下面几点: 基本的PHP、Python、JS语法 基本的代理BurpSuite使用 基本的HTTP请求交互过程 基本的安全知识(Owasp top10) 1.View_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 想当然的这道是考验一个查看网页前端源代码的常识,除了鼠标右键查看
XCTF-webwp
zhhhb1005的博客
02-11 2370
目录 disabled_button weak_auth simple_php get_post webshell command_execution disabled_button 其实就是有一个按钮不可以按,所以解决这个问后就有flag了。F12直接对源代码进行修改,将dis去掉。 点击按钮后,如图 得出flag。 weak_auth 我随便输入了用户名和密码,结果提示用户名为admin,根据目意思就是让我们破解密码 。 看了源...
BUUCTF MISC 镜子里面的世界
oxygensss的博客
05-01 200
目: flag{st3g0_saurus_wr3cks}
xctf_web解(入门区1--6)
HelloWorld's blog
12-13 2777
xctf_web解(新手区1—6) ps:说明一下,这次这个解可能是比较是比较low的,因为前一段时间在玩学校的vhdl来实现eda的大作业,花了我一段比较长的时间,另外之前一段时间再刷密码学的相关知识,也没这么去了解这个web这个方向的,对于小组内的blog我也就只能写写解了,以后可能做了一些项目会写一些其他有意思的东西 1.view_source 据目描述,这道的flag应该是在网页的源代码中的,但是鼠标右键点不了。那么这里有其他的解决方法,我在这里主要说两个解决方法:1.就是在网址上直接输
CTF-WEB入门指南:技能、资源与漏洞解析
"这篇文档是针对想要入门CTF(Capture The Flag)竞赛,特别是Web安全领域的初学者。文档强调了参与CTF的目的,无论是娱乐还是为未来的职业发展做准备,并提醒学习者要有毅力和牺牲休息时间的决心。内容涵盖了需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值