【picoCTF2022】Web部分

最新推荐文章于 2024-05-09 19:30:36 发布
最新推荐文章于 2024-05-09 19:30:36 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: CTF训练 文章标签: python 经验分享 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sparks_Pion/article/details/123774312
版权

Includes

image.png

image.png

picoCTF{1nclu51v17y_1of2_f7w_2of2_5a94a145}

Inspect HTML

image.png

picoCTF{1n5p3t0r_0f_h7ml_b101a689}

Local Authority

image.png

image.png

picoCTF{j5_15_7r4n5p4r3n7_b964a657}

Search source

保存网页,直接搜

image.pngimage.png

Forbidden Paths

路径穿越

image.png

Power Cookie

重载函数

image.png

image.png

Roboto Sans

扫网站

image.png

看 robots.txt

image.png

base64 有 flag1.txt;js/myfile.txt

打开看image.png

Secrets

同样扫

image.png

image.png

secret 里面还有 hiddenimage.png

image.png

有一个 superhidden 不清楚,打开看看

image.png

最终找到

SQL Direct

image.png

SQLiLite

image.png

Live Art

咕咕咕。。。

noted

咕咕咕。。。

最后俩题解的人好少,我也不精通web,放弃了。。。

Sparks_Pion
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
picoCTF:picoCTF挑战的解决方案
03-31
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!
PicoCTF2024 Web Writeup
Err0r233的博客
04-01 1285
清一下存货
picoCTF 2022 web
qq_61768489的博客
04-10 3225
Includes 看题目以为文件包含啥的 很简单,直接看源码,然后里面有 两个源码链接,点进去就是flag Inspect HTML 直接看源码。。 Local Authority 打不开网页 不过也是源码类的题目 Search source js源码找了半天没找到,还是在css翻到了 Forbidden Paths We know that the website files live in/usr/share/nginx/html/and ...
CTF-Web Exploitation(持续更新)
最新发布
huckers的博客
05-09 930
根据提示使用不同的请求方式得到response可能会得到结果使用抓包工具Burp Suit抓取链接请求信息修改请求方式POST/GET为HEAD发送请求,获取包含flag的响应信息TheHEADGETHEAD方法请求与GET请求相同的响应,但没有响应正文。Burp Suite是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。本题中使用。
picoCTF 2022 一些题目的wp】
aoao331198的博客
03-27 1575
picoCTF 2022 一些题目的wp 这里记录一下picoCTF 2022 中做出来的题目 文章目录WEB1.Includes2.Inspect HTML3.Local Authority4.Search source5.Forbidden Paths6.Power CookieCrypto1. WEB 1.Includes 打开开发者工具,在style.css中看见flag 2.Inspect HTML 查看源代码 3.Local Authority 密码找到 4.Search source C
Geek Challenge2022部分web题解
ph0ebus的博客
11-25 1009
进去之后看到一大堆代码,开始审计,可以发现就是绕过死亡exit()以及file_put_contents()的利用,这里还有一个exif_imagetype()的绕过,添加GIF89a文件头绕过即可。/bin目录下的cat文件,通配符只能代替文件,不能代替命令,每一个文件都有一个命令作为载体,用文件和用命令的原理一致,由此可以bypass cat从而获取到flag。可以看到输入的密码被编码了,看结构是哈希,盲猜一手md5,验证一下果然如此,那么开始爆破,给数字编码一下发包。然后使用联合注入,先找出回显点。
picoCTF,Web Exploitation,网页开发类,39/45
Allezima阿力代码
02-10 2520
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
picoCTF Web1
qq_61768489的博客
04-10 3794
GET aHEAD 抓包,是将请求方法换成HEAD , Cookies 查看cookie里面是 name=-1,思路是name=1,然后没出来,就试,name=18出来了 应该是用burp爆破或者写爬虫脚本来完成更好一些 Insp3ct0r 标题没看懂是啥,但很简单,看源码,在html,css,js里分别有一段flag Scavenger Hunt 寻宝游戏 前两段flag在html和css源码里,js里有这句话 有点懵,原来是代指robots协议 apache服务器,...
PicoCTF2021:Git du CTF PicoCTF版本2021
04-05
PicoCTF2021 解决方案在2021年版《麻烦日报》上的无人驾驶解决方案(Voici mon petitdépôtsansprétention) 密码学 网络开发 领先 饼干 寻宝游戏 需要一些组装1 需要一些组装2 逆向工程 转型 速度和进给 法证 ...
picoctf-discord:picoCTF Discord通知机器人
03-21
PicoCTF不和谐 通知机器人 设定档 注意:可以将配置存储在文件中,也可以通过环境变量进行设置。 姓名 默认 描述 DISCORD_WEBHOOK_URL 不适用 不和谐的Webhook网址 PICO_USERNAME 不适用 picoCTF用户名 PICO_...
picoCTF-2020-撰写:picoCTF 2020解决方案的撰写
02-21
以上版权声明和本许可声明应包含在本软件的所有副本或大部分内容中。 该软件按“原样”提供,不提供任何形式的明示或暗示担保,包括但不限于对适销性,特定目的的适用性和非侵权性的担保。 无论是由于软件,使用或...
PICOCTF_2019:picoCTF2019解决方案
02-18
PICOCTF_2019 picoCTF2019解决方案
PicoCTF-web类做题笔记-IK&N Hong_zhong
m0_55400802的博客
03-16 971
因此,.htaccess文件可以用于限制对特定目录或文件的访问权限,限制可执行文件的执行权限,并提供其他安全措施,例如启用HTTPS协议、防止跨站点脚本攻击(XSS)等。它是苹果Mac OS X操作系统中使用的一种隐藏文件,用于存储文件夹的元数据,例如文件夹的图标位置和文件排序方式等信息。因此,在某些情况下,.DS_Store文件可能会被用作信息收集的一种工具。那HEAD捏,其实这玩意和GET差不多,不过这个不返回具体信息,仅包含响应头,但它也并非无用,在实际做题中,可以使用此方法来判断某文件是否存在。
picoCTF2022】Pwn部分
Sparks_Pion的博客
03-29 646
basic-file-exploit if ((entry_number = strtol(entry, NULL, 10)) == 0) { puts(flag); fseek(stdin, 0, SEEK_END); exit(0); } 查询 0 号就可以了 ┌──(root㉿LAPTOP-Sparks)-[/tmp] └─# nc saturn.picoctf.net 52682 Hi, welcome to my echo chamber! Type '1' to ent
网络安全入门_网络安全入门介绍了大赛和基本安全概念
weixin_26747751的博客
09-09 654
网络安全入门Cybersecurity is important, there’s no dodging that fact. It is also nothing like the hacking that is shown in most popular media. 网络安全很重要,这是无法回避的事实。 这也与大多数流行媒体所显示的黑客行为完全不同。 However, that does ...
基于pion生态的SFU实时音视频发布服务(二)
superxxd的专栏
08-12 862
上篇文章说了风头正健的pion生态之livekit,现在轮到pion生态第一个sfu ion,这个由国内大佬鱼大等主持开发两年多开源项目,为国人乃至开源社区普及pion起了至关重要的作用,得到了Sean-Der的大力支持,也汇集了众多高手加盟,livekit的风格也深受其影响,下面是发布ion的习作,望各位大佬指正。.........
大话ion系列(五)
LiveVideoStack
11-19 472
点击上方“LiveVideoStack”关注我们作者 | 王朋闯本文为王朋闯老师创作的系列ion文章,LiveVideoStack已获得授权发布,未来将持续更新。大话ion系列(一)大话i...
重磅:SRS 5.0正式支持GB28181
幽雨雨幽
11-08 3821
而这些问题的解决方案都是Lazy Sweep,也就是互相持有的不是裸指针,而是Wrapper指针(有点像C++ 11的智能指针只是没有什么智能可言),因为Wrapper释放后Resource还是可用的,其他Wrapper对象还是可以使用Resource,我们在释放Resource时,等所有Wrapper都释放后再安全释放,也就是Lazy Sweep。从未来看,GB协议也不一定就是唯一可用的协议,当然了人应该活在当下,既然有这么多开发者在用SRS做GB,那么SRS尽量把GB做好一些,也是应该做的。
picoCTF2020_Web
煤矿路口西的博客
11-11 712
picoCTF Web Exploitation Insp3ct0r Insp3ct0r How do you inspect web code on a browser?There’s 3 parts ctrl+u看源码->1/3 of the flag: picoCTF{tru3_d3 mycss.css看源码-> 2/3 of the flag: t3ct1ve_0r_ju5t myjs.js看源码->3/3 of the flag: _lucky?2e7b23e3} w.
picoctf账号怎么注册不了
05-17
1. PicoCTF比赛已经结束,无法进行注册。 2. 您的年龄未满13岁,PicoCTF需要您的家长或监护人同意并帮助您完成注册。 3. 您的电子邮件地址已经被使用。请确保您使用的电子邮件地址没有被其他用户使用。 4. 您的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值