Web攻防世界(一)

最新推荐文章于 2023-12-04 09:20:47 发布
最新推荐文章于 2023-12-04 09:20:47 发布
阅读量173 收藏
点赞数
分类专栏: web学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vi_vids/article/details/109102142
版权

CTF-Web

Web方向(攻防世界——找FLAG)

前期在bilibili学习Web知识、基本漏洞原理、burp的用法…(菜鸟第一天)

View_source

该题主要考察查看源代码,Firefox快捷键F12查看源码,提交Flag。

robots

Robots协议也叫robots.txt,其通常放置于网站根目录下,是访问网站的时候最先访问的一个文件。

该题通过URL访问robots.txt即可获得Flag。

backup

查找index.php网站备份文件
网站常见的备份文件后缀名有:“.git”、“.svn”、“.swp”、“~”、“.bak”、“.bash_history”、“.bkf”;
该题将上述后缀名连接index.php上,使用URL访问。

cookie

查看cookie:页面快捷键查看存储 (关注敏感词)=> 查看网络

disabled button

造成按键无法摁的情况,多半问题出现在源码上。故F12快捷键查看源码,发现按钮位置的代码存在disabled这样的字眼,修改删除后,即可。

weak_auth

破解密码(弱口令),一上来就尝试“123456” ,即可。
但是,作为一个弱口令靶场,还是选择采用burp抓包进行intruder爆破,得到的结果为“123456”无疑。

command_execution

选择ping本地主机(127.0.0.1)是正常操作,采用find、cat命令查找、查看文件。

在这里插入图片描述

Vi_vids
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全攻防
S1942177831的博客
04-07 3309
常见Web攻击和防御
最新发布
baimao__Ch的博客
06-15 952
针对操作系统的注入 OS命令注入和SQL注入差不多,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的. OS命令注入攻击指 通过Web应用,执行非法的操作系统命令达到攻击的目的. 只要在能调用Shell函数的地方就有存在被攻击的风险.倘 若调用Shell时存在疏漏,就可以执行插入的非法命令.不是一种攻击,而是一大类攻击的总称.它有几十种类型,新的攻击方法还在不断发明出来.网站运行的各 个环节,都可以是攻击目标.只要把一个环节攻破,使得整个流程跑不起来,就达到了瘫痪服务的目的。
Web攻防——Java
weixin_44616206的博客
02-07 2545
Web攻防——Java Webgoat靶场搭建 解压缩jar包、IDEA反编译jar包 分析文件上传 JWT安全(一般在JAVA、Python中使用JWT):空加密算法、密钥爆破、kid攻击 安全组件:引用了哪些,对应版本漏洞 List item ...
WEB攻防-JavaWeb项目
qq_44867432的博客
01-13 2622
WEB攻防-JavaWeb项目&JWT身份攻击&组件安全&访问控制 #知识点: 1、JavaWeb常见安全及代码逻辑 2、目录遍历&身份验证&逻辑&JWT 3、访问控制&安全组件&越权&三方组件
攻防世界看雪看雪看雪杂项
11-20
在IT安全领域,尤其是网络安全竞赛(如CTF,Capture The Flag)中,"攻防世界"是一个颇受欢迎的在线平台,旨在提供各种安全挑战来提升参赛者的技能。在这个平台上,"杂项"(Miscellaneous)类题目通常涵盖广泛的知识...
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
XCTF攻防世界web.doc
09-19
在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力。本WriteUp将详细解释如何在...
攻防世界RE 流浪者 wp
03-15
攻防世界RE 流浪者 wp
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
WEB攻防的介绍教程
12-04
WEB攻防的介绍教程WEB攻防的介绍教程WEB攻防的介绍教程
WEB攻防渗透技术
01-31
渗透 技术Web安全攻防渗透测试实战指南-converted\gaedavr
Web前端攻防
青青木屋
01-21 754
原文链接:http://drops.wooyun.org/tips/2686
WEB攻防-通用漏洞&CRLF注入&URL重定向&资源处理拒绝服务
siu~
12-04 1726
#知识点: 1、CRLF注入-原理&检测&利用 2、URL重定向-原理&检测&利用 3、Web拒绝服务-原理&检测&利用
web攻防安全教程
2302_76672693的博客
05-18 151
web攻防安全教程
web安全攻防实战
qq_44806973的博客
09-02 1157
WEB安全渗透工具docker容器安装三级目录 渗透工具 1.burpsuite 2.curl 3.postman 4.wappalyzer 5.hackbar docker容器安装 [docker下载地址(https://www.docker.com/products/docker-desktop) 三级目录
走进JavaWeb技术世界17:web安全攻防详解
Java技术江湖
03-17 3379
安全要素与 STRIDE 威胁 今天,来分享下安全要素与 STRIDE 威胁。 STRIDE 威胁 STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Priv...
常见的Web安全攻防(一)
找到Web
08-03 723
前言 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和CSS一样,所以就只能
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值