Web攻防世界(七)

最新推荐文章于 2023-07-29 10:17:13 发布
最新推荐文章于 2023-07-29 10:17:13 发布
阅读量143 收藏
点赞数
分类专栏: web学习 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vi_vids/article/details/109493755
版权

CTF-Web

Web方向(攻防世界——找FLAG)

前期在bilibili学习Web知识、基本漏洞原理、burp、正则表达式的用法…(菜鸟第七天)前阵子一些事情耽搁了,补回来补回来!!!

ics-06

进入题目,尝试点击所有目录

在这里插入图片描述
发现只有大数据下的报表中心存在跳转。

在这里插入图片描述
在这里插入图片描述
采用Burp抓包 -> Intruder爆破id

在这里插入图片描述
得到flag

Vi_vids
关注
专栏目录
攻防世界(web篇)---Web_php_include
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-07 3606
hello传值 phpmyadmin写马 phpmyadmin变量secure_file_priv值为空,说明可以写入一句话木马 传🐎成功 测试🐎php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行利用该方法,我们可以直接写入php文件,输入file=php://input,然后使用burp抓包,写入php代码: file://协议 用于访问本地文件系统,不受allow_url_fopen与allow_url_include的影响即file:// [文..
攻防世界(web篇)---warmup
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
12-30 1530
攻防世界—warmup 文章目录攻防世界---warmup题目 php代码审计用到的php知识highlight_file(__FILE__) 题目 php代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php
攻防世界web新手区合集
CNXBDSa的博客
08-07 3213
攻防世界(xctf)做题合集-get_post- robots-backup-cookie-disabled_button-simple_php-weak_auth-xff_referer-simple_js-command_execution 注意有些题需要直接实践-不去实践永远别想进步 1.view_source 打开 然后查看源代码就找到flag了 cyberpeace{32b6a4b190...
攻防世界-Web(新手区)
qwzf
07-17 2万+
前言 暑假前,为了学习Web题,做了攻防世界的新手区的Web题,当时没有总结,现在总结一下。 正文 Web1:view_source 查看源代码,右键不可以用。所以按F12,直接查看源码即可。 Web2:get_post HTTP的两种请求方式 GET GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中)如: /test/1.php?name1=value1&name...
攻防世界WEB新手练习区(更新至11)
HHH's Blogs
08-09 1万+
001 view_source
攻防世界 web
qq_41071646的博客
05-30 1101
最近无事 想刷刷web题 来玩玩 不想看pwn还有re~~~ 复习什么的 也不是干@@@@@@ 然后刷的平台攻防世界 毕竟感觉哪里的题 感觉适合入手 robots 这个协议我确实知道 在学习python 爬虫的时候看的 如果 你不想让搜索引擎来 爬取你网站的信息的话 可以在网站上的 robots.txt 写上这些引擎 (当然对大公司有约束 一般人写爬虫 是不怎么遵守这个约定的)...
攻防世界web新手之disabled_button
qq_40481505的博客
05-05 1074
攻防世界web新手之disabled_button 打开题目链接,发现有一按钮,但是无法按下 查看源码发现 是这个“disabled”在捣鬼,我们不能通过点击按钮提交表单 那大不了就手动提交嘛,使用Firefox的hackbar插件就很容易办到,只不过这几天火狐浏览器扩展被禁用了,我还没及时更新官方补丁,所以这条路也走不通 不过我们还能通过linux中的curl命令来post数据 在终端里输入...
Web攻防世界(六)
Vi_vids的博客
11-09 161
CTF-Web Web方向(攻防世界——找FLAG) 前期在bilibili学习Web知识、基本漏洞原理、burp、正则表达式的用法…(菜鸟第六天)前阵子一些事情耽搁了,补回来补回来!!! supersqli show tables; show 判断注入点 单引号发现存在sql注入,报错信息得出:数据库类型为MariaDB 判断属性个数 使用order by语句 属性列数为2 存在过滤 过滤了select、update、delete、drop、insert、where关键字 接下来就要考虑绕
Web攻防世界(二)
Vi_vids的博客
10-16 253
CTF-Web Web方向(攻防世界——找FLAG) 前期在bilibili学习Web知识、基本漏洞原理、burp的用法…(菜鸟第二天) simple_php 该题目为一段php代码 采用的是GET请求方式,所以在URL后面添加/?a=’’&b=2345h,即可得到flag get_post HTTP协议常用的请求方式有两种:GET和POST GET请求方式就是在查看源码后获得的变量直接在URL上赋值 而POST请求方式则不可以这样 在本题中考察两种方法的使用 backup 查找index.php
攻防世界easy_web之SSTI注入
m0_66935689的博客
07-29 256
昨天不是放假了嘛想着做几道题的刚好碰到个文件上传的条件竞争整半天头都整大了,网上搜了一下文章质量都参差不齐像我这种菜狗根本看不懂没办法花了两个金币看官方的writeup但还没研究明白就想着做一下其它题把那两个金币挣回来就刚好碰到这玩意。str = '''{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}''' # 原字符串。随便试了一下确定了这玩意会把我们输入的参数当作html解析。
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1328
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
攻防世界——web高手进阶区题解
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
攻防世界web
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界web新手部分,进阶部分
舞动的獾
04-08 4760
title: 攻防世界第一题 date: 2019-04-08 19:31:23 author: 舞动之獾 top: false cover: true coverImg: https://img-blog.csdnimg.cn/20190408193755785.PNG categories: Markdown tags: web 网络安全 攻防世界新手第一题writeup 点击传送地址...
攻防世界-web-新手练习区(1)
wyj_1216 House
05-03 6341
view source 题目 Where is the FLAG 查看页面源代码,但是右键好像不管用了~ writeup F12查看,发现flag get post 题目 GET&POST writeup 首先用GET方式提交一个名为a,值为1的变量 在Firefox中,有个很好用的HackBar 再按照提示,以POST方式提交一个名为b,值为2的变量 得到flag~ 知识点 1、H...
攻防世界-Web-萌新入坑-NaNNaNNaNNaN-Batman(html乱码脚本处理)
Sea_Sand息禅
04-13 1万+
NaNNaNNaNNaN-Batman 下载文件,内容是这样的: 脚本语言,是html文件,修改后缀用浏览器打开得到: 是一个输入框,看来我们要先弄清楚这个文件的代码才行,审计代码可以看到最开始的下划线“_”是一个变量,其内容是一个函数的代码,而最后又是一个eval(_),也就是执行这个函数了,我们把eval改为alert,让程序弹框,得到了源码的非乱码形式: 把得到的代码整理一下就是...
攻防世界——web新手和引导模式(全解)
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
考研复习-英语二真题考试题集-带答案
最新发布
09-14
英语二考研真题复习资料,带答案版
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值