BugkuCTF_Web——“web4”、“输入密码查看flag”

最新推荐文章于 2021-08-20 22:24:39 发布
最新推荐文章于 2021-08-20 22:24:39 发布
阅读量483 收藏 1
点赞数 1
分类专栏: # CTF-Web 文章标签: ctf 安全 web 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/108501552
版权

文章目录

使用工具

Burpsuite

一、“web4”

题目提示查看源代码

源代码使用URL解码查看

var p1 = 'function checkSubmit(){var a=document.getElementById("password");if("undefined"!=typeof a){if("67d709b2b';
var p2 = 'aa648cf6e87a7114f1"==a.value)return!0;alert("Error");a.focus();return!1}}document.getElementById("levelQuest").οnsubmit=checkSubmit;';
eval(unescape(p1) + unescape('54aa2' + p2));

将p1和54aa2和p2里的字符串拼接起来得到字符串
67d709b2b54aa2aa648cf6e87a7114f1

提交即可得到FLAG

KEY{J22JK-HS11}

二、“输入密码查看flag”

题目提示用五位数字爆破

使用Burp
在这里插入图片描述
按照长度排序找到不同的包长

在这里插入图片描述

提交13579得到FLAG

flag{bugku-baopo-hah}

欢迎在评论区留言
感谢浏览

Ho1aAs
关注
专栏目录
BugkuCTF web 输入密码查看flag——never give up
the_world_go的博客
04-06 957
输入密码查看flag 看到要输入密码(爆破爆破爆破)。 打开bp抓包。爆破(果然弱密码输入密码得到 flag{bugku-baopo-hah} 点击一百万次好像网页崩了(也有可能我太菜了),进不去。。。 备份是个好习惯 打开网页,一段乱码。好的我看不懂,看源码没线索,抓包,没发现 拿御剑扫下后台吧 找到了 可以看到我要提交key1和key2,他们不相等但是md5处理以后相等 参考php漏洞...
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 6586
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
Bugku / CTF / WEB 输入密码查看flag
weixin_43851558的博客
07-28 3588
根据URL提示可知本题用爆破 本题要求的密码是5位数 修改google的代理服务器,再用burpsuite抓包,步骤如下: 1.将burpsuite打开后 点proxy >> intercept >>intercept is on >> 再浏览器页面输入密码 eg:1 并点击查看 2.抓包成功,页面如下: 如图可见最后一行显示我们输入...
BugkuCTF-WEB-WEB4
Jaychouzzk
11-16 386
  看看源代码就看看源代码,截取重要的一部分代码,这里都进行url编码了,进行解码 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e...
BugkuCTF:flag在index里;输入密码查看flag
s0il的博客
02-16 3122
flag在index里 题目是这样:                                          点击之后是这样:                                              url变成了: http://123.206.87.240:8005/post/index.php?file=show.php 看到大佬的解答,因为有fil...
CTFBugku 输入密码查看flag
weixin_41607190的博客
10-07 380
原理:用burp爆破密码,看看如何设置 构造post提交的参数 发到intruder中 因为是5位数 从10000开始到99999 每次增加1
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 3784
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
渗透漏洞 Bugku CTF-Web5
weixin_52514668的博客
04-29 387
Bugku CTF-Web5一.开启环境,点击链接二. 查看源代码——发现PHP弱类型三.构造出 payload,提交获得 flag 一.开启环境,点击链接 二. 查看源代码——发现PHP弱类型 ## 1. PHP 比较 2 个值是否相等可以用 “ == ” 或 “ === ”,“ == ” 会在比较时自动转换类型而不改变原来的值,因此这个符号经常出现漏洞。“ == ” 比较相等的一些常见值如下,当某些语句的判断条件是使用 “ == ”来判断时,就可以使用弱类型来替代。值得一提的是 “0e” 开头的哈希
BugkuCTF笔记——web
weixin_41889503的博客
12-30 671
1.web2 按F12 2. 发现框里面只能输一个数字,按F12,把maxlength改成3,再在框里输入计算后的正确结果 3.web基础$_GET ?后面是传递的参数。 格式为:网页?参数名=参数值  4。web基础$_POST 和上题类似 5.矛盾 题目 查一下is_numeric函数 则num既不能是数字字符,但是又要等于1 想到用科学计数法表示数字...
ctfshow-WEB-web4
wangyuxiang946的博客
08-20 1万+
ctf.show WEB模块第4关是一个文件包含漏洞,页面提示了源码中的关键代码,使用include()函数接收url参数,include()函数包含的文件会被执行,从而造成任意代码执行,或者配合伪协议获取敏感文件甚至getshell; 然而这一关伪协议不起作用,我们可以通过日志注入进行任意命令执行,从而getshell 页面最明显的位置展示了源码的核心,提示我们利用文件包含漏洞 包含日志文件,查看日志文件的信息,可以看到日志文件中保存了网站的访问记录,包括HTTP请求行...
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
ctf web4
qq_35191331的博客
08-12 2045
http://120.24.86.145:8002/web4/ 根据题目的意思是:看看源代码? BKCTF-WEB4 看看源代码? var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63
BugKu_web4
羽的博客
04-13 112
这里考察一个POST方式传参,我这里使用火狐插件HackBar解决。 HackBar的安装问题就自行百度。
Bugku-web4
王嘟嘟的博客
10-08 1487
文章目录0x00 2018年10月7日23:02:570x01 标准部分flag0x02 加餐 0x00 2018年10月7日23:02:57 0x01 标准部分 首先来看下题目。 然后在firefox里打开这个链接。 题目提示说看源码,那就看一下源码。 firefox浏览器,F12 这里看到javascript有一些编码。 这些编码一看就知道有猫腻。 好吧,这些编码一看就知道是16进制的,...
bugku web4
wssmiss的博客
07-21 249
web4 根据eval中的unescape函数可以确定前面p1,p2是escape加密 解密后得到 unescape(p1)= function checkSubmit(){var a=document.getElementById("password");if("undefined"!=typeof a){if("67d709b2b'; unescape(’%35%34%61%61%32’+...
bugku web4
weixin_30311605的博客
07-15 115
Bugku web4 有提示嘿嘿这么强。提示看代码:肯定不止那么简单。 那就看看,果然有问题,这么一串是啥东西。 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%4...
CTF——web4
weixin_50699777的博客
04-26 192
题目 http://114.67.246.176:13867/ 解题 进入网站直面而来的就是一串代码
Bugku CTF web4(Web
ChaoYue_miku的博客
02-15 390
0、打开网页,查看PHP源码 $what=$_POST['what']; echo $what; if($what=='flag') echo 'flag{****}'; 用POST方法上传参数what=flag即可 1、使用hackbar,传递post=what 2、得到flag:flag{ca93c192f5ef059ef9855e5cd1107cca}
CTF挑战:Web安全漏洞——任意文件上传与下载实战
CTF(Capture The Flag)竞赛中,特别是在Web安全领域,"任意文件上传+任意文件下载"是一个常见的挑战,涉及到黑客技术的运用和Web应用程序的安全漏洞利用。这类题目通常要求参赛者通过精心构造的HTTP请求,上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值