Web攻防世界(二)

最新推荐文章于 2024-05-01 23:47:38 发布
最新推荐文章于 2024-05-01 23:47:38 发布
阅读量236 收藏 1
点赞数
分类专栏: web学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vi_vids/article/details/109122223
版权

CTF-Web

Web方向(攻防世界——找FLAG)

前期在bilibili学习Web知识、基本漏洞原理、burp的用法…(菜鸟第二天)

simple_php

该题目为一段php代码
在这里插入图片描述采用的是GET请求方式,所以在URL后面添加/?a=’’&b=2345h,即可得到flag

get_post

HTTP协议常用的请求方式有两种:GET和POST
GET请求方式就是在查看源码后获得的变量直接在URL上赋值
而POST请求方式则不可以这样
在本题中考察两种方法的使用

在这里插入图片描述

最低0.47元/天 解锁文章
Vi_vids
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界-Web简单篇】
gyy990526的博客
02-27 1936
001 view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解:F12看源代码,发现flag,即cyberpeace{2f02c337ed8e430393527ed58b1091f8} 002 robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解:打开链接什么也没有,这时就需要知道什么是robots协议,robots协议也叫robots.txt(统一小写)...
攻防世界-web
weixin_42675180的博客
03-20 299
这里写自定义目录标题robots协议解题思路 robots协议 robots协议在网站根目录下放一个robots.txt文本文件(如 https://www.taobao.com/robots.txt ),里面可以指定不同的网络爬虫能访问的页面和禁止访问的页面,指定的页面由正则表达式表示。网络爬虫在采集这个网站之前,首先获取到这个robots.txt文本文件,然后解析到其中的规则,然后根据规则来采...
2024年网络安全最新攻防世界Web题 - unseping 总结_unseping攻防世界
最新发布
2401_84302722的博客
05-01 263
【代码】2024年网络安全最新攻防世界Web题 - unseping 总结_unseping攻防世界
攻防世界 web
qq_41071646的博客
05-30 1066
最近无事 想刷刷web题 来玩玩 不想看pwn还有re~~~ 复习什么的 也不是干@@@@@@ 然后刷的平台攻防世界 毕竟感觉哪里的题 感觉适合入手 robots 这个协议我确实知道 在学习python 爬虫的时候看的 如果 你不想让搜索引擎来 爬取你网站的信息的话 可以在网站上的 robots.txt 写上这些引擎 (当然对大公司有约束 一般人写爬虫 是不怎么遵守这个约定的)...
攻防世界-Web
weixin_43454872的博客
11-09 269
攻防世界-Web新手篇 1.题目描述 cookie X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗? 2.题目场景 http://220.249.52.133:37857 3.WriteUp解题思路 cookie通俗的讲是类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息 。 方法一: 根据题目的提示可知:首先按F12,查看源代码,在存储中找到cookie的Va
攻防世界-web
weixin_43454872的博客
11-09 218
攻防世界-Web新手 1.题目描述 backup X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 2.题目场景 http://220.249.52.133:31848/index.php 3.Writeup解题方法 备份文件是以.bak结尾的 具体可以参考下面的表 **扩展名 / 文件类型 / 打开方式 .aiff / 声音文件 / Windows media Player .!!! / Netants 暂存文件 / Netants .ani / 动画鼠标 .arj / 压缩
攻防世界看雪看雪看雪杂项
11-20
在IT安全领域,尤其是网络安全竞赛(如CTF,Capture The Flag)中,"攻防世界"是一个颇受欢迎的在线平台,旨在提供各种安全挑战来提升参赛者的技能。在这个平台上,"杂项"(Miscellaneous)类题目通常涵盖广泛的知识...
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
XCTF攻防世界web.doc
09-19
【XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
攻防世界RE 流浪者 wp
03-15
攻防世界RE 流浪者 wp
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界-web-mfw
wallacegen的博客
11-18 294
开始没有什么思路,参考网上别人的wp,首先提到的一个点就是源码泄漏 摘自https://lddp.github.io/2018/05/10/WEB-%E6%BA%90%E7%A0%81%E6%B3%84%E6%BC%8F/ 关于源码泄漏,这位师傅已经总结了。 然后是git源码泄漏,用GitHack-master下载下来之后,可以看到源码。 先来看index.php <?php if (isset($_GET['page'])) { $page = $_GET['page']; } else {
攻防世界-Web(新手区)
热门推荐
qwzf
07-17 2万+
前言 暑假前,为了学习Web题,做了攻防世界的新手区的Web题,当时没有总结,现在总结一下。 正文 Web1:view_source 查看源代码,右键不可以用。所以按F12,直接查看源码即可。 Web2:get_post HTTP的两种请求方式 GET GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中)如: /test/1.php?name1=value1&name...
攻防世界Web(难度1)
weixin_59453707的博客
08-30 428
将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串将字符串转换为状态信息PHP内的几个特殊魔术方法__construct():当对象创建(new)时会自动调用,但在unserialize()时是不会自动调用的(构造函数)__destruct():当对象操作执行完毕后自动执行destruct()函数的代码。...
攻防世界 web webshell
Kni9hT's Blog
03-01 3371
做题两分钟,工具两小时 题目描述:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 所谓的php一句话:<?php @eval($_POST['shell']);?> 这个是PHP最常见的一句话木马的源码,通过post木马程序来实现木马的植入,eval()函数把字符串按照PHP代码来计算 这题又涉及到新的web工具,Cknife (因为现在网络上菜刀的后...
攻防世界Web&&BUUCTF Web
AKAXPD的博客
02-01 1907
simple_php 看到了一段PHP代码,解读一下: 这里包含了"config.php"文件,url接收参数a和b的值。如果$a的值等于0 and$a,那么输出$flag1,如果$b的值为数字或字符串则退出当前脚本,如果$b>1234则输出$flag2。 很明显,这里考察的是PHP代码中的弱类型比较(==): 当$a==0且$a!=null时,会输出$flag1。PHP中的弱类型会使比如说'b'==0为真。 当$b>1234时输出$flag2,PHP中的弱类型比较会使'123
攻防世界 WEB FlatScience
qq_41696858的博客
08-24 223
听说这个题一开始是个1分题。。。。what??????? 这题结合了sql注入,爬虫爬取以及pdf识别内容和sha1撞库,你告诉我只有一分???????好吧,可能是我太菜了 打开场景,一堆a链接,打开看到是一堆pdf,查找一下发现也没有啥,扫描一波目录,发现robots.txt,进去看看 发现login.php和admin.php,尝试sql注入,admin页面根本没回显,好吧,那么有问题的页面就只剩一个login.php了 先尝试一个简单的单引号1’,有回显,sqlite数据库,id是注入点,后面密码明显
攻防世界-web新手
weixin_47346400的博客
02-26 212
robots协议 robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.txt,或者使用robots元数据.
【愚公系列】2023年05月 攻防世界-Web(shrine)
时光隧道
05-27 7597
Flask是一个轻量级的Web应用程序框架,用于Python编程语言。它是基于Werkzeug WSGI工具箱和Jinja2模板引擎构建的。Flask提供了一组工具和库,可以帮助开发人员构建Web应用程序,包括路由、HTTP请求处理、会话管理和数据存储等。它是一个开源框架,可以在许多领域使用,例如Web开发、物联网、机器学习和数据分析等。Flask包括以下主要组件:Werkzeug:一个WSGI工具库,提供了底层的服务端网关接口(WSGI)实现,用于接收和处理HTTP请求。
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞执行恶意代码或读取敏感文件。 文件包含漏洞分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种类型。LFI漏洞发生在应用程序尝试包含本地文件时,而RFI漏洞则允许攻击者通过远程服务器包含外部文件。 为了防止文件包含漏洞,开发人员应该遵循以下最佳实践: 1. 永远不要信任用户输入。对用户提供的文件名、路径或URL进行严格的输入验证和过滤。 2. 使用白名单机制限制可包含的文件范围。只允许应用程序包含预定义的合法文件,而不是用户可控制的任意文件。 3. 避免使用动态包含,尽量使用静态包含。如果必须使用动态包含,确保只包含可信任的文件。 4. 对于本地文件包含漏洞,限制访问文件系统的权限。确保应用程序只能访问必要的文件,并将敏感文件放在可访问性受限的目录下。 5. 对于远程文件包含漏洞,禁止从远程服务器包含文件,或者使用安全的方法验证和限制远程文件的来源。 6. 定期更新和修补应用程序的漏洞,以确保及时修复已知的文件包含漏洞和其他安全问题。 这些是一些常见的防范文件包含漏洞的方法,但在实际开发过程中,还需要根据具体情况采取其他安全措施来保护应用程序免受攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值