ctf学习日记第一次总结

最新推荐文章于 2023-03-21 17:56:03 发布
最新推荐文章于 2023-03-21 17:56:03 发布
阅读量423 收藏
点赞数 1
分类专栏: CTF学习日记 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NUC_zlt/article/details/127607344
版权

CTF学习日记

web前置技能-HTTP协议

请求方式

1.打开环境根据提示,利用BURP抓包,改传参方式为CTFUHB
xoSslq.jpg
xoS7X6.jpg

2.得到flag
xoSq0O.jpg

302跳转

1.点击超链接,发现没有反应,检查NETWORK,发现有状态码为302
xopncq.jpg

2.直接抓包,点击Give me flag,将得到的包邮件发送到repeater,点击发送,在响应包中得到flag
xop0HO.jpg

Cookie

1.根据提示,只有admin才可的到flag
xops4H.jpg

2.直接抓包,修改Cookie中的,admin=1
xopggI.jpg

3.再放包,得到flag

基础认证

1.题目给出100组数组

2.进入环境,敲击页面中的click,可知这次要进行爆破
xopH8s.jpg

3.开始抓包!在包中发现关键字Authorization basic(基础认证)
后面跟着一段base加密的东西,解码看看
xopxVU.jpg
xo9Ar6.jpg

4.可知账号密码的格式应为(账号:密码)

5.将包发送到Intruder,添加地址
xo93sP.jpg

6.导入字典,启用一个base64编码在payload processing,关闭URL-encode these characters,开始爆破!!!!!!!!

7.发现一个正确结果也没有😅

8.查询资料发现base编码里不能有=,删除=试试

9.发现有状态码为200,看看响应包,得到flag

响应包源代码

1.BURP抓不到任何包,看看源代码试试

2.果然有惊喜
xoCBfH.jpg

笔记

302临时重定向
什么是重定向?
即用户输入网站A但打开之后变成了网站B

作用:
301 重定向:搜索引擎在抓取新内容的同时也将旧的网址交换为重定向之后的网址 新网站的内容 —>新网站
302重定向:搜索引擎会抓取新的内容而保存旧的网址。 新网站的内容 -->旧网站

所以301重定向被称为永久重定向
而302重定向被称为临时重定向

心得

  • 基本掌握BURP的一些用法
  • 初步了解web方面的攻击方法以及思路

而302重定向被称为临时重定向

心得

  • 基本掌握BURP的一些用法
  • 初步了解web方面的攻击方法以及思路
  • 强化Markdown的使用
D0vee
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[V&N2020 公开赛]HappyCTFd
weixin_45689999的博客
03-04 1423
[V&N2020 公开赛]HappyCTFd 网站里除了user里面有一个admin有信息,其他页面和F12没有可用信息 所以猜测flag是在admin里面的,就是要登录admin账户 是一个账户接管漏洞,参考大佬bloghttps://www.colabug.com/2020/0204/6940556/amp/ 所以步骤就是 利用添加空格绕过限制来注册一个与受害者用户名相同的账号 生成忘...
CTF实战训练日志——2021-6-27(七)
stybill的博客
06-27 4万+
题目: OK 解题: 使用Ook解码
bugku ctf 字符?正则?
qq_42777804的博客
08-01 1426
打开网站 是一段php代码 <?php highlight_file('2.php'); $key='KEY{********************************}'; $IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match); ...
CTF实战训练日志——2021-10-14(四)
stybill的博客
10-14 5万+
题目:通过Burp修改字段 点击?处,发现只允许输入一个字符 思路 通过burp抓包,然后修改maxlength值即可
CTF之misc-日志分析
热门推荐
Battery的博客
05-04 11万+
1、注入审计 出题人通常会使用sqlmap去跑一个注入点,跑出数据后将日志留存,让参 赛者判断sqlmap注出了什么数据,此数据通常就为flag。 2、命令执行审计 出题人通常会利用一句话木马,进行一系列敏感操作,或者假装一开始不知 道一句话木马的密码,从而进行一系列的爆破行为,让参赛者判断一句话木 马的密码。 ......
CTF: 分析Web日志找到登录的密码
npu_nazi的博客
03-21 1001
在网上查找相关资料,分析Web日志记录格式以及错误查找办法.然后查找第八列数据报文长度不同的那个.1. 先将数据导入excel中。
CTF 比赛思路总结 PPT 含学习链接
09-13
信息收集 代码审计 web漏洞汇总 工具使用技巧 高级漏洞利用 web思路
CTF隐写详细总结,自带ctf工具集
11-30
CTF隐写详细总结,自带ctf工具集。 0、图片隐写 1、音频隐写 波形隐写 频谱隐写 LSB隐写 2、视频隐写 3、Base64隐写 4、Python代码隐写 5、Pdf隐写 6、Office文档隐写 7、Ntfs数据流隐写
2021CTF工业信息安全大赛第一场题.rar
09-19
【标题】"2021CTF工业信息安全大赛第一场题.rar" 提供的信息表明,这是一个与2021年工业信息安全领域的CTF(Capture The Flag)比赛相关的压缩包文件,其中包含了第一场比赛的试题。CTF比赛通常涉及网络安全、密码学...
CTF常见密码总结.docx
04-10
ctf解题中总结的一些实用的密码(编码方式),非常适合刚入坑的新手参考学习。比如常见的栅栏密码,摩斯电码,还有一些不常见的比如培根密码等等等等,非常全面!!!
CTF-RE第一次出题记录
最新发布
10-21
CTF-RE第一次出题记录
日志注入 ctf.show_web4
m0_56107268的博客
05-13 489
使用php://input 不行 使用日志注入 查看日志的默认目录,得到了日志文件 ?url=/var/log/nginx/access.log 进行日志注入 <?php @eval($_POST['a']);?> 使用蚁剑连接得到flag
[虎符ctf2021]你会日志文件分析吗
CSDN12333221的博客
11-07 332
拿到一份日志,毫无头绪,上网查wp得知为sql盲注,得再学。如果正确会休眠两秒,那么就找到377长度的请求。1.看时间和后门的长度。找出所有的Ascii码。
BUUCTF admin
biggerpig的博客
09-24 895
buuctfweb类型admin题目
Bugku--CTF-- 1、本地管理员 2、网站被黑
记录笔记
07-07 1244
Bugku--CTF--1、本地管理员 2、网站被黑
CTFhub技能书解题笔记-Cookie
qq_43006864的博客
12-09 1456
一:打开题目,主页给出的提示是,仅仅只有admin用户,才能看到flag 二、这里我们还是打开burpsuit,抓包看一下数据包。通过对该页面进行抓包,发现了cookie位置的值为:admin=0。那么可以理解为现在是因为admin=0,所以我们非admin用户,就无法看倒flag。 这里因为0和1通常用来表示“否”和“是”,所以这里我们将0改为1。 得到flag ...
BUUCTF-[HCTF 2018]admin1
Monica的博客
11-15 7129
题目 分析 打开环境,页面啥也没有,日常查看源代码 提示说你不是admin,所以这题可能是我们为admin才可以得到flag 在login页面找到登录框 刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误 ...
S3cCTF-gyy-Writeup
Err0r_CM的博客
01-08 2156
S3cCTF-gyy-Writeup 出题人:gyy 写在前面: 本次招新赛我主要负责WEB方面的出题,当然兼顾一些MISC,本着简单易懂的原则,刚开始出了很多简单WEB题,但是这届新生的实力明显比我们当时强= =,后期又赶了一些提升题,当然和真正的CTF比赛还是有非常大的距离,例如在群里放出的周六的题目可以看出。所以,这些只是入门CTF的基础,去年的这时,我们参加的招新比赛比今年更加困难(所以今年我有同感地出了不少简单题),我希望大家不要止步于此,当初我也有一腔热血,觉得CTF不过如此(甚至还想双休)。但
[BUUCTF]第一天训练日志
Y1seco的博客
07-30 418
文章目录[网鼎杯 2020 白虎组]PicDown知识点WP[HarekazeCTF2019]encode_and_encode知识点WP[b01lers2020]Welcome to Earth[NCTF2019]SQLi知识点WP[watevrCTF-2019]Cookie StoreBUUCTF [RootersCTF2019] I_<3_Flask知识点WP [网鼎杯 2020 白虎组]PicDown 知识点 文件读取 python代码审计 反弹shell 文件描述符 /proc/self/目录的
应急响应与WEB安全:CTF学习大纲
"CTF-web学习大纲,应急响应之WEB,VSRC应急响应中心,基础概念,注意事项,事件了解,WEB攻击溯源" CTF(Capture The Flag)是一种网络安全竞赛,通常涉及攻防演练,其中“WEB”部分主要关注Web应用程序的安全性。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值