picoCTF2020_Web

最新推荐文章于 2024-05-13 16:47:31 发布
最新推荐文章于 2024-05-13 16:47:31 发布
阅读量733 收藏
点赞数 1
分类专栏: 打卡日常 文章标签: 信息安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LLKJSAF/article/details/109632243
版权
本文介绍了picoCTF2020网络安全竞赛中的Web Exploitation部分,涉及通过查看源码获取部分flag、利用/robots.txt找到隐藏页面、操控客户端状态、命令行参数传递、修改用户代理以及解决过滤和加密问题来解密flag的方法。通过这些挑战,作者学习了Web安全和绕过策略。
摘要由CSDN通过智能技术生成

picoCTF

Web Exploitation

Insp3ct0r

Insp3ct0r

How do you inspect web code on a browser?There’s 3 parts

ctrl+u看源码->1/3 of the flag: picoCTF{tru3_d3

mycss.css看源码-> 2/3 of the flag: t3ct1ve_0r_ju5t

myjs.js看源码->3/3 of the flag: _lucky?2e7b23e3}

where are the robots

where are the robots

What part of the website could tell you where the creator doesn’t want you to look?

提到robots,输入/robots.txt

得👇

User-agent: *
Disallow: /1bb4c.html

输入/1bb4c.html
得flag.

dont-use-client-side

dont-use-client-side

Never trust the client

看源码

function verify() {
    checkpass = docu
最低0.47元/天 解锁文章
煤矿路口西_CTF小学生
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 每次启动镜像时都会随机生成Flask Cookie的SECRET_KEY。 版权 该题目复现环境尚未取得主办方及出题人相关授权,如果侵权,请联系本人删除()
picoCTF Web1
qq_61768489的博客
04-10 3926
GET aHEAD 抓包,是将请求方法换成HEAD , Cookies 查看cookie里面是 name=-1,思路是name=1,然后没出来,就试,name=18出来了 应该是用burp爆破或者写爬虫脚本来完成更好一些 Insp3ct0r 标题没看懂是啥,但很简单,看源码,在html,css,js里分别有一段flag Scavenger Hunt 寻宝游戏 前两段flag在html和css源码里,js里有这句话 有点懵,原来是代指robots协议 apache服务器,...
picoCTF,Web Exploitation,网页开发类,39/45
Allezima阿力代码
02-10 2825
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
CTF-Web Exploitation(持续更新)
huckers的博客
05-09 1106
根据提示使用不同的请求方式得到response可能会得到结果使用抓包工具Burp Suit抓取链接请求信息修改请求方式POST/GET为HEAD发送请求,获取包含flag的响应信息TheHEADGETHEAD方法请求与GET请求相同的响应,但没有响应正文。Burp Suite是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。本题中使用。
picoCTF2019--logon
cyjmosthandsome的博客
11-14 761
1. 记录做这道题时学到的一些知识点 在username输入admin登录时,显示No flag for you,F12查看请求包,发现cookies栏显示admin=False 然后就想到用burp抓包将cookie中的admin改为True 2. 遇到的问题 利用burp直接抓包,抓到的第一个包如下 直接send包,得到的response如下 然后follow the ...
PICOCTF_2019:picoCTF2019解决方案
02-18
【标题】:“PICOCTF_2019:picoCTF2019解决方案” 在网络安全领域,CTF(Capture The Flag)比赛是一种流行的学习和竞技方式,旨在提升参与者在信息安全方面的能力。PICOCTF是面向全球学生和初学者的网络安全挑战...
picoCTF_18
02-15
picoCTF_18
picoCTF-2020-撰写:picoCTF 2020解决方案的撰写
02-21
picoCTF 2020撰写 此存储库包含picoCTF 2020的字样,提示和解决方案。每个文件夹对每个类别都有相应的问题。 麻省理工学院 版权所有2021 Adam Jeniski和Caleb Garrick 特此免费授予获得该软件和相关文档文件(...
picoCTF:picoCTF挑战的解决方案
03-31
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!
picoctf-discord:picoCTF Discord通知机器人
03-21
PicoCTF不和谐 通知机器人 设定档 注意:可以将配置存储在文件中,也可以通过环境变量进行设置。 姓名 默认 描述 DISCORD_WEBHOOK_URL 不适用 不和谐的Webhook网址 PICO_USERNAME 不适用 picoCTF用户名 PICO_...
pico_useragent:解析当前访问者的用户代理字符串并公开要在模板中使用的值数组
07-04
pico_useragent 一个插件,它允许您解析当前访问者的用户代理,然后在树枝模板中的易于使用的变量中公开该信息。 希望这是有道理的。 输出 使用插件时,您会获得一个名为browser的新变量。 从我的计算机转储时,浏览器变量具有以下属性: $ browser = array ( 'useragent' => 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.37 Safari/537.36' // full ua string 'name' => 'Google Chrome' // name of the browser 'browser' => 'google-chrome'
PicoCTF-2019-WirteUp
Zichel77的博客
11-25 1405
1. 2Warm-General Skills 直接将十进制转化为二进制 picoCTF{101010} 2. Insp3ct0r-Web Exploitation https://2019shell1.picoctf.com/problem/63975/ 点击链接看到如下页面 点击What没有变化,点击How出现如下页面 说明是分别从HTML,CS...
picoCTF - RE - Shop writeup
yyyayo的博客
07-10 237
from pwn import * p = remote("mercury.picoctf.net", 24851) p.recv() p.sendline("0") p.recv() p.sendline("-6") # The program doesn't ensure the input is not negative. Or it should use unsigned int variables. p.recv() p.sendline("2") p.recv() p.sendline("
picoCTF]cookies write up
GZWZ_的博客
03-25 1800
burpsuit拦截的情况有几种,本来我可以写两种,第一种做完忘记了,又试了好几次,得到这种方法,家人们,加油!如果有别的解法,评论区分享一下哦。
PicoCTF——Most Cookie思路讲解
npu2022303155的博客
04-25 867
1. 并没有手把手的步骤,只有一些经验。 2. 会有一些抓包图片来帮助理解,只是不知道有没有多此一举。
PicoCTF_2018_buffer_overflow_2详细wp
m0_46204503的博客
11-12 3067
PicoCTF_2018_buffer_overflow_2 知识点 函数调用栈机制(栈溢出) 栈传参 32位程序栈传参,以逆序传入参数,即最后一个参数在最高地址 64位程序前6个参数是寄存器传参,前6个参数分别存在rdi、rsi、rdx、rcx、r8、r9 little trick 如何将一个数转化成底层的二进制的机器码 手算 网上找在线工具,这里不做介绍 在IDA中看汇编代码 因为c代码都可以当做一组汇编指令,比如从上述的0x804861D开始到0x804862D四句汇编指令
picoCTF-Web Exploitation-Java Code Analysis!?!
最新发布
huckers的博客
05-13 1891
code?
picoCTF-WP
luoluopeach
10-17 2160
The Numbers Description:The numbers… what do they mean? Hints:The flag is in the format PICOCTF{} a-1 b-2 c-3 d-4 e-5 f-6 g-7 h-8 i-9 j-10 k-11 l-12 m-13 n-14 o-15 p-16 q-17 r-18 s-19 t-20 u-21 v-22 w-23 x-24 y-25 z-26 大括号前数字对应的字母是PICOCTF GET FLAG!
picoCTF2018 Writeup之Web Exploitation
zwish的信安之路
09-16 1735
My New Website 打开发现是个登录界面,随便输入账号密码登陆成功,然后发现cookie里面有个admin字段为false,改为True(一定要大写) 得到flag:picoCTF{l0g1ns_ar3nt_r34l_92020990} Irish Name Repo 没有任何过滤的注入,直接到/admin登录页面,使用万能密码admin' or '1'='1登录即可 my r...
picoctf_2018_rop chain
03-16
picoctf_2018_rop chain是一道CTF比赛中的题目,需要使用ROP(Return Oriented Programming)技术来解决。ROP是一种利用程序中已有的代码段(称为gadget)来构造攻击代码的技术,通过将多个gadget串联起来,可以实现绕过程序的安全机制,执行恶意代码。在这道题目中,需要通过构造ROP链来实现获取flag的目标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值