ctf学习笔记1——bugku刷题

最新推荐文章于 2024-07-30 21:03:31 发布
最新推荐文章于 2024-07-30 21:03:31 发布
阅读量381 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xlider/article/details/113097812
版权

ctf新手入门,开始刷bugku的题目,记录一下学到的知识

2021-1-22

使用chrome按F12即可进入开发者模式,可以看到前端源码,并且可以修改

浏览器地址栏后直接加?aaa=bbb,可以使用get方法发送参数,参数名为aaa,值为bbb

如果要用post方法发送数据,可以使用以前做测试的时候用过的postman,postman功能还是挺强大的

php中==符号不能判断类型,在数字与字符串比较时会将字符串转化为数字进行比较,因此如果输入1b,则会将其直接转为1来进行比较

$GLOBAL 表示全局变量

2021-1-24

文件包含漏洞:

php中为了方便,可以使用文件包含函数,包括include和require

  • include( )
    当使用该函数包含文件时,只有代码执行到 include()函数时才将文件包含
    进来,发生错误时之给出一个警告,继续向下执行。
  • include_once( )
    功能与 Include()相同,区别在于当重复调用同一文件时,程序只调用一次
  • require( )
    require()与 include()的区别在于 require()执行如果发生错误,函数会输出
    错误信息,并终止脚本的运行。
  • require_once( )
    功能与 require()相同,区别在于当重复调用同一文件时,程序只调用一次。

具体参考这个网站,后面再总结

https://www.jianshu.com/p/3514f0fd79f7

利用postman发数据的时候,header里面加入X-Forwarded-For,值为127.0.0.1,可以将IP伪装为本地IP

 

我的ctf刷题wp笔记
03-25
### CTF刷题WP笔记解析 #### 1. SWPUCTF 2021 新生赛 —— whitegive_pwnV1 本题目聚焦于一个典型的CTF比赛中的二进制漏洞利用挑战,名为“whitegive_pwnV1”。通过对题目描述的解读,我们可以深入分析其中涉及的...
bugkuCTF Writeup (Web)26-29
Troublor的博客
01-28 3227
never give up 看源码,有提示 去看1p.html的源码 HTML> HEAD> SCRIPT LANGUAGE="Javascript"> <!-- var Words ="%3Cscript%3Ewindow.location.href%3D%27http%3A//www.bugku.com%27%3B%3C/script%3E%20%0A%3C%21--JTIyJ
CTF BugKu平台——Crypto篇刷题记录(后续更新)
Aluxian_的博客
05-31 3579
CTF BugKu平台——Crypto篇抄错的字符 抄错的字符 描述: 老师让小明抄写一段话,结果粗心的小明把部分数字抄成了字母,还因为强迫症把所有字母都换成大写。你能帮小明恢复并解开答案吗:QWIHBLGZZXJSXZNVBZW QW1h base64解码为 Ama BL92 base64解码为 _v ZXJ5 base64解码为 ery X2Nv base64解码为 _co b2w= base64解码为 ol flag{Aman_very_cool} 这题出的确实好u1s1 出题人完胜! ...
bugku ctf刷题1
weixin_63231007的博客
03-23 529
game1 前端java游戏类题目,我们前端玩游戏的数据,总是要传给后端的,可以拦截数据包,修改数据。 先玩一局游戏,之后打开F12的network可以看见游戏数据。 score.php传输了我们的score得分,ip和sign。 查看源码可知,sign是score经过base64加密的一种形式。但是我们的得分175经过base64 加密后发现是MTc1 ,而现在的sign是ZMMTc1==,所以得知 sign = "zM" + base64(score) + "=="。 之后我们get一
Bugku刷题记录(二)
Luiino的博客
08-23 304
这个符号“€”没有对应的ASCII,故得到所谓奇怪的部分:“₧”,改成“{”,再在末尾加上}即为最终flag。stringfromCharCode是Javascript的函数,复制括号里头的参数进行下一步操作。即flag{ctf_tfc201717qwe}猜测是凯撒,对照ASCII码表,看前面4个。密钥密文一一对应,首先看2-H,看到第二行。即flag{xsxsbugkuadmin}最后竖着寻找合理的flag,这里没对齐。最后UniCode解码即可。
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
ctf学习刷题网址合集.md
05-16
ctf学习刷题网址合集.md
CTF资料领取文档——下单必看.docx
11-22
CTF资料领取文档——下单必看.docx
Bugku CTF 密码学刷题
weixin_52805837的博客
10-12 2103
Bugku CTF 密码学刷题前言一、抄错的字符二、/.-三、聪明的小羊四、ok五、[+-<>]六、把猪困在猪圈里七、你喜欢下棋吗八、小山丘的秘密九、EN-气泡十、你以为是md5吗十一、Math&English十二、easy_crypto十三、黄道十二官十四、一段新闻十五、7+1+0十六、这是个盲兔子,竟然在唱歌!总结 前言           密码学可以分为古典密码学和现代密码学。古典
bugku ctf刷题2(php://input&kali-gobuster扫目录)
weixin_63231007的博客
05-14 1093
Cookies 网页与网页源代码里无有用信息 观察url里内容,发现filename存在base64加密,解密后发现是keys.txt。 尝试用 filename访问index.php(原url使用base64,这里也将index.php进行编码)。line没有传值,试着传1,2,3;发现回显类似与源代码。写个python脚本获取一下这个源代码。 得到源代码为: <?php error_reporting(0); $file=base64_decode(isset($_GET['f.
BUGKU-CTF入门笔记
Emooooor的博客
12-07 262
CTFBUGKU、入门、夺旗赛、网络安全、web安全
BugKuCTF WEB
让我再浪一会 的博客
11-24 921
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
CTF BugKu web类型题目详细解析
qq_68727073的博客
10-12 524
点击该页面的overview,使用bp抓一下包,发到重发器后构造payload,如图。
CTF-web】bugku-成绩查询(sql注入)
Sankkl1的博客
08-17 702
再测试,当id为1’时,无数据,而当id为1’#时,又正确返回了数据,推测构造的数据库查询语句可能是类似。查询skctf库中的表的名称,结果其中有一个表名为fl4g,很可能其中就包含了flag。查询fl4g表中的列名,发现其中有一列的名称为skctf_flag。如上图所示,当id为1时返回名字为“龙龙龙”的成绩单。我们要找到能返回能够返回我们需要的信息的位置,当。时,数据不显示,可以知道一列数据有4列。时,我们可以查询到库名,如下图所示。这样的,其中XX为传入的参数。时,可以正常显示,直到。
CTF-赛博朋克-bugku解题思路和细节
Mjj567的博客
03-27 1101
首先,一个压缩包(东西)到手时立马改后缀为.txt,去看看他到底是什么或者藏着什么线索。PK,发现真的是一个压缩包,那就打开吧,发现还是一个加了密的,之前txt没有发现信息,就拖进010解析一下是否为伪密码。
CTF BugKu 全网最详解(每日更)
最新发布
2401_85783544的博客
07-30 947
构造语句进行注入 flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}, 发现目录:app。因为规定只能上传jpg\png格式,所以我们将后缀改为jpg进行上传,上传之后发现了flag文件。然后用刚才的账号密码登录就会看到flag弹窗,将flag解码就会得到最后的flag了。然后我们先传入一个flag参数试试,发现页面可以显示被传入flag参数的值。查看flag文件,我们得到flag。
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值