BUUCTF：[极客大挑战 2019]Havefun

L1nYuan

已于 2022-07-23 14:06:19 修改

阅读量345

点赞数

文章标签： web安全

于 2022-07-22 20:16:05 首次发布

本文链接：https://blog.csdn.net/Yu3511606536/article/details/125939292

版权

BUUCTF：[极客大挑战 2019]Havefun

考点：

get传参

访问：

在这里插入图片描述
查看源码有提示

<!--
        $cat=$_GET['cat'];
        echo $cat;
        if($cat=='dog'){
            echo 'Syc{cat_cat_cat_cat}';
        }
        -->

只要cat参数等于dog即可得到flag，这个cat的值是通过get传参来得到，所以很好构造

payload

http://1a606d51-7dbc-4806-9784-d30921e8a1e4.node4.buuoj.cn:81/?cat=dog

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

L1nYuan

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
BUUCTF：[极客大挑战 2019]Havefun

[BUUCTF][极客大挑战 2019]Havefun
复制链接

扫一扫

[极客大挑战 2019]web部分题解（已完结!），网络安全开发面试基础

m0_60635224的博客

04-08

995

那直接打指令找一下吧：cat /flag和的这里我会讲解我理解下的内容，如果有兴趣的师傅建议去原文看一下，其中我真的很喜欢士别三日博客的一句话，真的建议每一位Ctfer记住！

BUUCTF[极客大挑战 2019] EasySQL 1

m0_75178803的博客

06-12

4004

因为这道题是基于sql单引号的注入，我们构造万能密码，#在sql注入中是注释符。题目来源：BUUCTF [极客大挑战 2019] EasySQL 1。用or连接，因为1=1恒真，假或真=真，真或真=真，所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的注入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时，页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时，

参与评论您还未登录，请先登录后发表或查看评论

[极客大挑战 2019]Havefun1、EasySQL(BUUCTF)

HackerYY的博客

12-31

2125

[极客大挑战2019]的两道水题内附解题过程

Buuctf-[极客大挑战 2019]HardSQL

m0_63563528的博客

04-13

261

的，任何可以计算出结果的语句都可以用括号围起来，而括号的两端，可以没有多余的空格。我们知道，出现这个说明闭合成功了，但是之后发现它过滤了好多字符和语句，我输入。拼接一下flag，把重复部分删咯，就可以成功提交。又得到了：98-8e23-3728c2f96a1d}报错注入回显嘛，直接获取数据库名“geek”空格被过滤了，怎样绕过呢？我来试一下：输入1'(or)#

BUUCTF-[极客大挑战 2019]FinalSQL

weixin_44016181的博客

09-15

322

除了普通的注入流程，报错注入，时间注入外，这题涉及了布尔注入当中的异或注入，根据回显的状态信息来获取数据库的相关信息。这样即便是我们不能直接调用和查看数据库，也能通过这种特别的注入方式得到flag。

GFG-：极客，极客30天挑战

02-17

极客30天挑战2021年1月 30天练习问题的Python解决方案：与同学一起翻阅怪胎。（Array）; 第N个自然数；不能表示为Sum的最小正整数；从抽屉里拿出“ k”双袜子的最小采摘次数；螺旋矩阵奇克兰的硬币；有效...

GeekUniversityWebTask:极客大学前端训练营作业

04-18

GeekUniversityWebTask极客大学作业提交

mercado-c:极客大学正在进行的项目

04-09

极客大学正在进行的项目向用户显示菜单的应用程序；将产品添加到购物车时，只需更改数量即可检查购物车中是否已存在同一产品。在购买结束时，必须根据购物车中输入的产品和数量将总额显示给用户。

微信小程序demo：极客学院

03-15

一个同学的毕业设计，微信小程序也可以做成毕业设计了吗？免责声明：本站所有文章和图片均来自用户分享和网络收集，文章和图片版权归原作者及原出处所有，仅供学习与参考，请勿用于商业用途，如果损害了您的...

微信小程序学习用demo：极客学院

03-15

点评：简单的两个页面：免责声明：本站所有文章和图片均来自用户分享和网络收集，文章和图片版权归原作者及原出处所有，仅供学习与参考，请勿用于商业用途，如果损害了您的权利，请联系网站客服处理。

BUUCTF [web专项19][极客大挑战 2019]BuyFlag

最新发布

yanglinchiji的博客

11-04

113

审查源码，我们发现我们需要用post上传password==404的数值，但是还不能是纯数字。发现这里有Cookie: user=0 把0修改成1，发现成功出现其他信息。发现界面没有什么变化，最下面说需要中大学生的身份，尝试抓包看看有无修改点。很明显的弱等于的绕过方式，我们上传password=404e。但是我看其他大佬是利用的php strcmp()漏洞来获取的。直接看源码(后面发现右上角就有切换，完全不用看源码hh)这里我用的是火狐插件hackbar。传上去后发现过长，那就用科学计数法。

BUUCTF__[极客大挑战 2019]Havefun_题解

风过江南乱的博客

05-16

1556

看题这题真的是最简单的一题了。以至于看到flag还以为是假的，毕竟吃过假flag的亏。拿到题目，很好看相关性F12，发现被注释的代码。很简单的一段代码。尝试get传入cat=dog http://e2c1cdbb-e689-45c2-ba6c-d8fddd629759.node3.buuoj.cn/?cat=dog 神奇的事情出现了，出现了一串神秘字符串。尝试提交flag，成功，emmm。就这？就这？就这？最后没什么知识点，就乐呵一下吧。附

buuctf [极客大挑战 2019]Havefun

Kavint的博客

03-03

打开是一只尾巴会摇的猫猫。右键查看源代码试一试（我用的火狐浏览器）打开是一长串代码，拉到最下面看到提示。由代码可得，当cat==‘dog’时，会输出key。可见是GET传参，方法为在后面加?

[极客大挑战 2019]Havefun---[ACTF2020 新生赛] Include

Knsec

05-13

294

[极客大挑战 2019]Havefun 打开靶场，先看看源码，一看就发现了踪迹 # 审计一下 $cat=$_GET['cat']; echo $cat; if($cat=='dog') { echo 'Syc{cat_cat_cat_cat}'; } 使用Get方法获取一个参数cat的值，如果 cat == dog 就会输出一段话（这里给出的echo可能只是一个提示），然后就快快乐乐提交了 [ACTF2020 新生赛] Include 打开靶场，点开 tips 发现提示参数 fi

BUUCTF-[极客大挑战 2019]PHP1

Monica的博客

09-27

3657

目录题目：知识点：分析：方法：题目：知识点： 1. __wakeup() //将在反序列化之后立即调用（当反序列化时变量个数与实际不符是会绕过）我们可以通过一个cve来绕过：CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件：PHP5 < 5.6.25，PHP7 < 7.0.10，或者PHP 7.3.4 2. __construct() //当对象被创建即new之前，会触发进行初始化，但在unseri...

buu刷题1.2

ooooohhhhhhh博客

10-28

103

1.2.1[极客大挑战 2019]EasySQL 随便输入一个账号和密码，显示如下界面判断一下是否存在sql注入出现报错，说明存在SQL注入漏洞构造一个url，让无论账号和密码输入正确或者错误都为真，能够登录成功 http://f7c0ad9c-3f3f-443b-a0ef-6faf2b97c32c.node3.buuoj.cn/check.php?username=admin'or'1'='1&password=admin'or'1'='1 1.2.2[极客大

Buuctf-WEB简单的3套题

yuanxu8877的博客

04-04

274

Bugkuctf-WEB简单的3套题，涉及命令执行，文件包含

BUUCTF-Love sql

m0_73121489的博客

03-28

332

sql注入的一般流程：找注入点->找列数->找回显位->报数据库->爆表->爆字段->爆数据其他有关sql注入的知识还是麻烦师傅们自己去搜一下，以下就不过多赘述知识点。

buuctf web 极客大挑战2019

08-24

嗨！对于BUUCTF Web极客大挑战2019，我了解到它是一个网络安全比赛，由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面，包括但不限于漏洞利用、代码审计和网络协议等。参赛者需要通过解决各个题目来获取相应的flag，以证明自己的能力。如果你有具体的问题或需要更详细的信息，我会尽力帮助你。

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交