CTF之WEB(BUGku Ctf 1-7 题解)

最新推荐文章于 2024-05-06 20:13:52 发布
最新推荐文章于 2024-05-06 20:13:52 发布
阅读量1.3k 收藏 5
点赞数 2
文章标签: web http post
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RBMan/article/details/111397880
版权 
这几天做的一些CTF之WEB方向的题,才入门所以会写一些心得。1~7题的心得,不喜勿喷。我会坚持下去的。

一.post和get请求方式的不同
1.get:较为简单,如果叫你输入数值的话,直接在URL后面加就行了。格式如下:
www.123123123.com/?abc=ABC(所需要提交的参数)
2.post:需要使用火狐上的插件HackBar,先打开该插件,再打开网页,然后URL就会出现在上面的大框中。图片如下:

在这里插入图片描述

然后,在下面的框中输入需要的提交的参数,就可以了。

二.关于get请求方式中遇到问题:
is_numeric()函数是用于判断该值,是否为数值或者字符串。
在get请求方式中,如果需要提交数字,必须要在该值的前面或者后面加上 %00,这样就可以提交数值了。

三.CTF中常见的编码
1.ASCII编码
2.URL编码
特点:使用 百分号% + 十六进制数字 在URL中表示特殊字符的编码方式。
3.HTML实体编码
4.Base编码
5.Unicode编码
6.莫尔斯电码(Morse Code)

四.BurpSuite的抓包使用笔记

第一步:首先必须要在,BO上配置好代理模块,一般来说就是在proxy中进行操作,不做具体说明,一般都是:IP地址:197.0.0.1 端口为:8080&#

最低0.47元/天 解锁文章
嗅探
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 5914
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
Bugku CTF Web 解题报告(一)
qq_51090016的博客
01-24 974
Web11-20题 刚接触ctf的菜鸡,突发奇想写博客,想记录一下自己的写题过程。至于前面十题。。。我舍不得bugku的金币再启动一次场景,只好从11题开始。 Web 11 网站被黑了 我擦,网站被黑了??我一菜鸡哪会解这么高大上的题。打开题目一开,还搞得挺炫酷 这咋办?鼠标右键点不了,F12一看也没啥。我这也太菜了,只好看看大佬怎么做,原来是要用御剑,只好照葫芦画瓢 果然有了,访问下面这个看看 盲猜123456。。果然不对。只好想到用bp爆破。可我还不会爆破啊。。只好搜一下教程现学现用。 跟着大佬.
CTF学习(入门):Bugku--web篇--web基础$_GET
m0_45157173的博客
11-15 238
CTF学习(入门):Bugku--web篇--web基础$_GET 题目位置:http://123.206.87.240:8002/get/ 涉及操作:get方法参数上传、代码读写 进入目标网站,发现这样一段代码: 解读: 用GET方法取得一个what, 后写出一遍what的值 然后进入判断,如果what的值=‘flag’,就输出flag 显然我们要用GET方法给what传入’flag’的值才行 于是在上面最后这里加入: ?what=flag 这样一行代码(如图) 便可传入参数 后直接回车: flag
2024年网络安全最全CTF BugKu平台—(Web篇①)_ctf bugku web(1),专题解
最新发布
2401_82645688的博客
05-06 847
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。
BugkuWeb题目解析
北观止的博客
07-31 7933
BugkuWeb 1.web2 解析: 源码中有注释 答案: KEY{Web-2-bugKssNNikls9100} 2、计算器 题目出现了一个很简单的验证码,只要输入正确就可以获得flag,但是尝试后发现题目的输入框只能输入一个数字, 果断审查元素,发现了输入框的最大长度被设置成了1,于是修改输入框的maxlength属性为5 输入结果就可以了 来自 https://www.cnblogs.com/kele1997/p/7595839.html flag{CTF-bugku-0032} 3.Web基础$
CTFWEB题——RCE
tomyyyyy
10-31 6064
CTFWEB题——RCE 目录CTFWEB题——RCE相关函数命令执行代码注入绕过方式空格命令分隔符关键字限制长度限制回显无字母、数字getshell异或取反自增实例相关函数 命令执行 system() #string system ( string $command [, int &$return_var ] ) #system()函数执行有回显,将执行结果输出到页面上 &lt...
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
CyBRICS CTF Quals 2019 Web 题解1
08-04
在CyBRICS CTF Quals 2019的Web挑战中,参赛者遇到了一系列涉及前端、后端以及加密解密的问题。以下是针对题目提供的部分解题思路和知识点的详细说明: 1. **Warmup**: - **URL重定向**:这个挑战中,网站最初...
CTF-Mobile-Tutorial:我写的一些Mobile CTF题解
03-28
本教程由作者wnagzihxa1n精心整理,旨在帮助初学者理解并掌握移动CTF中的关键知识点,特别是与Java相关的安全问题。以下是对这些内容的详细阐述: 一、移动CTF基础知识 移动CTF主要涉及Android和iOS平台,其中...
Hacker101-CTF
04-19
黑客101-CTF 解释 HackerOne; 这是一个漏洞平台,可将企业与渗透测试人员和网络安全研究人员联系起来。 此平台上的Hacker101是针对Web安全域的易受攻击的免费类。 受漏洞的启发,该课程使用户可以练习自己的举报...
CTF内存取证三项.7z
11-16
CTF取证分析赛题,对学习有很大帮助。
BugkuCTF-Web-Web4
烟雨天青色
12-16 2183
点开解题链接,一眼望去还是熟悉的样子,先点一个“Submit”再说,嗯。。果然同样的反应,弹出一个“再试试看”,试个锤子,直接看源码,嗯对,源码里面什么都有,就是没有直接的flag。。。 在源码里面我们会发现有两段奇奇怪怪的字符,这都是啥玩意啊,我相信你猜都能猜出来这是一段编码,但是你不知道这段编码的编码什方式是什么,其实如果了解所有的编码方式的话,一眼就能看出来这是URL编码。好,我们...
如何绕过校园网认证,不付费就可以使用自己的网络。
热门推荐
qq_41155672的博客
03-14 32万+
绕过校园网认证。
CTF web题型解题技巧
weixin_30654419的博客
04-23 2461
工具集 基础工具:Burpsuite,python,firefox(hackbar,foxyproxy,user-agent,swither等) 扫描工具:nmap,nessus,openvas sql注入工具:sqlmap等 xss平台:xssplatfrom,beef 文件上传工具:cknife 文件包含工具:LFlsuite 暴力破解工具:burp暴力破解模块,md5Crack...
CTFHUB学习题解Web(1)- 前置技能(持续更新整理)
独沐晨霖
07-21 2073
注: 1. 因为是个入门题网站,若题目仅涉及简单的基础知识,就不截图了,仅简要说明过程 2. 题库尚不完全,没有内容的分支先直接跳过,等题库更新再做添加 3. 大标题为版块名,小标题为含有题目的上级菜单名,无序黑体为题目Web HTTP协议 请求方式 众所周知,HTTP的请求方法是可以自定义的,用burp抓个包改一下请求方式为题目要求的CTFHUB就可以了 302重定向 打开网页用F12发现请求会被302重定向回index.html,用burp拦截并send to repeater即可得到fla
CTFweb篇——签到题
suiyideAli的博客
09-21 1万+
0x00 前言 一个简单的CTF签到题。 0x01.打开靶场 0x02 打开靶场地址发现信息,通过题目提示信息使用burpsuit抓包 Send to Repeater 然后查看 Repeater 点击GO 在Response中 Headers 找到Flag ok完成。 ...
CTF-web基础$_POST
三天不打上房揭瓦的博客
08-15 2034
前言:小编也是现学现卖,方便自己记忆,写的不好的地方多多包涵,希望各位大佬多多批评指正。 网址:web基础$_POST 1.进入网址可以看到如下代码。 2.分析该代码,得出只需要传 what参数等于flag即可得出答案。即和GET代码原理一样。 $what=$_POST['what']; echo $what; if($what=='flag') echo 'flag{****}'; 3.这里使用一个小插件来通过此关。hackber 火狐浏览器可以添加的插件,通过hackber来获取到 flag,最终答
ctf web基本步骤
小小白的博客
06-27 3万+
大家做ctf简单点的都可以用这些判断,基本上都会有,除非个别变态的。 1. 看源码 可以右键->【查看网页源代码】,也可以用火狐和谷歌浏览器的按F12键,按F12键可以修改html源代码方便构造一些值提交,但如果不需要的话直接右键查看源代码更直观,看网页里面的注释之类的都很方便。 2. 抓包 这几天接触到的抓包一般是用burpsuite,如果要多次尝试可以右键->【send t...
BugkuCTF-PWN题pwn7-repeater详细讲解多解法
am_03的博客
08-31 4065
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值