WhaleCTF Web部分writeup

最新推荐文章于 2024-05-11 02:16:54 发布
最新推荐文章于 2024-05-11 02:16:54 发布
阅读量3.6k 收藏 3
点赞数 1
分类专栏: CTF入门 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MozhuCY/article/details/79250503
版权

Web部分writeup(真的是部分wp

二进制小白兼web盲来记录下今天做的几道题。。。
0x00

签到题直接f12查看源码即可

0x01 http呀

这里提供两种思路
做web肯定少不了burpsuit啦,网页中给了提示,Do you know what happend just now?! ( •̀∀•́ )突然想起南邮CTF平台上的两道题,考虑是不是flag在中间页面里,在点击时来了一次非常快的跳转呢?
抓了一次包发现啥都没有…后来尝试了几次发现,打开index.php的页面时,会跳到index.html。这就好办了,抓包拿flag,同时,同为二进制手的Cossack9989因为burpsuit过期了,想到了用wireshark来抓取流量,也是很顺利的拿到了flag
(偷偷宣传一波W8Cloud战队Cossack9989的博客

0x02 本地登录

本地登录,听名字大概就是伪造ip地址然后post过去吧,抓包加X-Forwarded-For: 127.0.0.1 成功拿到flag

0x03密码泄露

web的最后一题了,果然坑不少,是一个登陆样子的界面,查看源码发现有一个小提示“password.txt”,好的直接找到了密码表,来一发爆破吧

最低0.47元/天 解锁文章
MozhuCY
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ctf (Do_you_know_http)
Glacier_Mount的博客
06-27 2314
burp suite的简单应用
封神台—高校靶场ctf—第一期Web web_005
m0_52738557的博客
06-22 366
难度:⭐ 首先咱们看到提示可以得知本题可能和index.html有点关系,index.html文件一般属于默认的网站主页面。 提示说别沉迷index.html所以可以知道flag不在index.html这个主页面了 打开传送门我们看一下内容看看能得到什么提示 只有一句英语那,查看一下源代码 没有发现什么再F12看看传输 也没什么线索,确实只有一句英语Do you know what happend just now?!(你知道刚才发生了什么吗!) 主页页面不止有index.html还有index.php、
题目2-5-Careful
博客地址 www.sec0nd.top
07-26 663
考查点:HTTP的Response字段 打开后显示 Do you know what happend just now?! 刚刚发生了什么? 显然,在刚刚打开网页链接时,浏览器和服务器之间产生了一系列不可告人的秘密,我们需要监听他们之间的数据交互过程 这里采用BurpSuite 抓包后发送到repeater模块 来到repeater模块,查看返回的数据 因为操作环境在本地,未能正确返回数据,理论上应该能返回右边的数据,即可得到flag ...
2024年最全CTF 全讲解:[SWPUCTF 2024 新生赛]Do_you_know_http(1),2024BAT大厂网络安全社招面试题
最新发布
2401_84281712的博客
05-11 770
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
[SWPUCTF 2021 新生赛]Do_you_know_http
qq_62046696的博客
05-12 1836
看见了browser,那就burp抓包改一下 就是user-Agent改为WLLM,但是要注意一定要在repeater中改变,然后发现提示要用本地的地址,在代码中添加X-Forwarded-For=127.0.0.1,然后运行,发现看见了一个php代码,直接访问,然后得出 ...
【愚公系列】2023年06月 Bugku-Web(留言板)
时光隧道
06-23 6986
使用dirsearch进行目录爆破的步骤如下:下载dirsearch工具:可以从Github上下载dirsearch,或者使用命令行工具进行安装。打开dirsearch工具:在命令行中输入python3 dirsearch.py命令,即可打开dirsearch工具。设置目标URL:在命令行中输入目标URL,例如:python3 dirsearch.py -u http://example.com。
CTF利用大佬们的webshell拿取flag
Javachichi的博客
04-27 604
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。这份完整版的网络安全(黑客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接即可前往获取【保证100%免费】。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。学习黑客常用的开发软件都在这里了,给大家节省了很多时间。比较早的一场CTF了,做了几个web。而upload最为显著了,发现存在目录遍历。
BUUCTF WEB(2020-2月刷题~)
A_dmin的博客
04-05 1052
[GXYCTF2019]Ping Ping Ping [GXYCTF2019]禁止套娃 [极客大挑战 2019]HardSQL [BJDCTF2020]The mystery of ip [BJDCTF2020]ZJCTF,不过如此 [BJDCTF2020]Cookie is so stable [GWCTF 2019]枯燥的抽奖 [网鼎杯 2018]Comment
web渗透writeup
09-11
总结,这个案例涵盖了Web安全中的关键知识点,包括SQL注入的防范、PHP函数的运用以及会话管理的安全性。对于开发者来说,了解这些攻击手段并采取相应的防护措施至关重要,如使用预编译的SQL语句、防止URL编码攻击...
2022-工大抗疫-web-writeup1
08-03
2022-工大抗疫-web-writeup1 本资源摘要信息聚焦于Web安全和网络协议相关知识点,涵盖了HTML、PHP、网络协议和Windows操作系统等多个方面。 一、网络协议 在Web开发中,网络协议扮演着重要角色。HTTP/1.1是目前最...
2023 强网杯 Writeup
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
[2021东华杯]Web Writeup1
08-03
Java 反序列化漏洞及利用 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,发生在 Java 对象的序列化和反序列化过程中。该漏洞可以导致攻击者执行恶意代码,盗取敏感信息,或者控制服务器。 ...
实验吧writeup Web方向
08-27
就是实验吧的一些writeup,,因缺思厅的绕过,让我进去,上传绕过, dvwa,简单的sql注入3
2019 moeCTF新生题 部分wp
热门推荐
xiaohuihui的博客
09-15 1万+
author: xiaohuihui statis:持续更新 这篇博客是博主参加moeCTF后写的WP,一方面记录一下,另一方面分享部分心得给广大互联网的朋友。题目附件可以去 moectf 官方网站 下载,也可以留邮箱。后期可能会放出网盘链接。本 blog尽可能收录所有赛题,标题中带有 × 的表示博主尚未解出。
“百度杯” CTF比赛 九月场 Web-Do you know upload
qq_34106499的博客
01-17 387
1. 上传类型的限制方法; 2. 抓包修改上传文件类型; 3. 菜刀连接一句话木马; 4. 菜刀连接数据库,并查询数据库内容;
CTF之做题总结(九)
qq_45970607的博客
06-08 617
一、Crypto(密码学) 1、
CTF-Web-Do you know upload?
Fisher的安全日记
11-14 772
0×00 背景迫于挖洞挖不dao,练练CTF,复习复习。 题目地址 https://www.ichunqiu.com/battalion?t=1&r=61025 0×01 审题 文件上传 0×02 文件上传 上传一个图片,成功。然后传php文件,提示文件类型错误,bp抓包,将上传类型改成image/jpeg,上传成功 0×03 菜刀连接 [外链图片转存失败,源站可能有防盗链机制,建议...
Whale蓝鲸CTFWeb writeup
Senimo
08-14 786
Whale蓝鲸CTFWeb writeupSQL注入Find mehttp呀本地登陆密码泄露 Whale蓝鲸CTF链接 SQL注入 无法打开页面,暂时无法做。 Find me 分值:50 请找到我 解题链接 查看网页源码即可得到flag: <!--flag:{This_is_s0_simpl3}--> http呀 分值:50 从你眼前溜过去了~ 解题链接 根据提示从你眼前溜过去...
GKCTF2021-官方WriteUp.pdf
07-06
"GKCTF2021官方WriteUp包含了两个主要的Web安全挑战:ezcms和eznode。在ezcms中,利用模板注入和目录穿越漏洞获取flag;在eznode中,通过绕过严格过滤的WAF并利用原型链污染实现远程代码执行(RCE)" 在ezcms挑战中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值