10-ctf-web3

已于 2022-07-14 23:45:48 修改
阅读量157 收藏
点赞数
文章标签: java 服务器 大数据
于 2022-07-14 23:12:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1533759138/article/details/125794832
版权
"博客分享了一次CTF挑战的经历,挑战涉及网站登录验证。作者最初误以为密码等于请求中的session值,但实际解题关键在于理解session在服务器端的处理。最终,通过输入password=和session=空,成功获取到flag,形式为{/10-ctf-web3.php?password=}
摘要由CSDN通过智能技术生成

(解题前提给源码,不给源码,自认为无解) 开始以为是password=请求中sesson的值相等就出flag,结果返回guess wrong ,这应该就是个坑,实际session应该在服务器里,然而我们自己搭建的网站里肯定没有session的,最后输入password=,session=空,出了答案,flag{/10-ctf-web3.php?password=},这个格式少见。。。。

a1533759138
关注
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
2022--CTF-Web.pdf
07-09
2022--CTF-Web
ctf-web3
gofreshman的博客
12-01 282
sql注入型题目
CTF-web3
Zhang_hongchao的博客
01-08 313
打开网址能看到以下信息: $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 代码的涵义, $what=$_GET['what']; //GET 方式获取参数what echo $what; //输出what 参数的值 if($what=='flag') //if 判断 $what 是否等于 flag echo'flag{****}'; 通过GET 方式(URL)获取一个参数,参数名是`what`。 直接提交
CTF-web-web3
三天不打上房揭瓦的博客
08-25 488
前言:小编也是现学现卖,方便自己记忆,写的不好的地方还请包涵,也欢迎各位大佬多多批评指正 网址:web-web3 1.进入网址可以看到一个弹框,先阻止弹框。 2.右键查看源代码,发现是js代码,alert函数的弹框。 3.划到最下面,发现一串 HTML 编码 4.打开bp 或者其它编码软件进行解码。我这里使用bp进行解码。 将后面三个l 去掉,得到flag为:KEY{J2sa42ahJK-HS11} ...
Bugku CTF web3
qq_61768489的博客
04-25 927
字符?正则? <?php highlight_file('2.php'); $key='flag{********************************}'; $IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match); if( $IM ){ die('key is: '.$key); } ?> trim()移除空白字符 这个文章超棒
Bugku CTF web3(Web)
ChaoYue_miku的博客
02-14 276
0、打开网页,查看PHP源码 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 用GET方法上传参数what=flag即可 1、得到flag:flag{b201fba34aa17859887d45dc5b248bae}
006-CTF web题型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web题型是常见的比赛环节,主要测试参赛者在Web安全领域的知识和技能。本篇内容主要针对CTF Web实战练习进行了总结,分为入门的第一部分和第二部分,涵盖了多个...
web渗透-CTF杂项练习题
最新发布
08-11
压缩包中有各种CTF杂项练习题,每种题型各一个,部分题目文件已将答案(如分离好的图片)一并包含,请细心鉴别以防做题时引发误解
writeups-plaid-ctf-web
04-20
[WEB] 在PlaidCTF 202 *中,这是一个有趣的挑战。 去! 提供了该Web应用程序的源代码: 如您所见,有6(!)个服务。 在查看所有对象之前,请flag : 啊哈! 现在我们知道标记在哪里。 它坐落在/flag.txt文件中...
论剑CTF web-3
m0_46587008的博客
10-25 372
1.web-3 进入环境,发现upload,点开看看 那就开始上传 根据回显推测应该是白名单,# 1.web-3 进入环境,发现upload,点开看看那就开始上传根据回显推测应该是白名单,比较难突破。但是看一眼URL发现有点小惊喜 http://123.206.31.85:10003/?op=upload 这里传进去的参数是op=upload,这个opload应该是一个文件名,推测这里可能是文件包含,在index.php中包含了upload文件才出现的这个上传界面。 2.思路 进入环境,发现u
ctf.show web3
m0_63028223的博客
04-25 1474
打开题目,出现提示,php文件?,考虑文件包含漏洞。 输入参数:?url=/etc/passwd 这个报错界面出来了,说明存在文件包含漏洞 构造url值 =php://input 使用php协议 使用burp抓包 使用ls命令查看php下的文件 得到文件路径。。。。 使用cat方法查看 最终得到flag。。。。。。。。 发文助手检测到文字太少,无奈再说点什么吧,信息安全渗透,学习需要一个积累的过程,需要可以不精通但最少了解 php,java,j...
bugku ctf web3
qq_42777804的博客
08-12 863
这么一道题 打开后发现 一直是这两个界面                         花里胡哨   直接查看源代码(有的浏览器不可以 ,可以尝试一下 火狐)   发现最最后那一堆Unicode编码的注释可疑 &lt;!--&amp;#75;&amp;#69;&amp;#89;&amp;#123;&amp;#74;&amp;#50;&amp;#115;&amp;#...
ctfshow-WEB-web3
热门推荐
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块的第3关是一个文件包含漏洞,include()函数包含的文件会被执行,我们使用PHP伪协议配合抓包工具进行命令执行,从而获取flag 这一关的flag就存放在网站跟路径下的文件中 php://input可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php:/input将会无效 页面中显示了部分源码,明显是引导我们利用文件包含漏洞进行操作,源码中的inc...
CTF-Web3-(SQL简单过滤绕过)
→_→
07-24 1697
3.简单的sql注入 思路: 检测是否存在注入点的两种常用方法:(更多注入详情:Sqli-labs环境通关教程-学习) 1.基于报错的检测方法 一般这种方法是输入单引号’。看是否报错,如果数据库报错,说明后台数据库处理了我们输入的数据。那么有可能存在注 入点。 2.基于布尔的检测方法---(这只是最基础的判断) 这种方法是输入: 1 and 1=1 ,通常这种情况会正常返回数据 1 and 1=2 ,通常这种情况不会返回数据或者直接报错 或者 1' and '1'='1 ,通常这种.
ctfshow web3
m0_73660182的博客
12-16 300
抓包
【BugkuCTF】Web--web3
VZZmieshenquan的博客
02-07 393
Description: flag就在这里快来找找吧 http://123.206.87.240:8002/web3/ Solution: 这题我先用鼠标连点器点完了所有对话框,发现页面还是空白。然后就查看页面源代码找到了HTML编码 直接Converter转换一下 Flag: KEY{J2sa42ahJK-HS11III} ...
ctf--WEB
wangxinru1的博客
04-29 873
1,web2打开这题是一个动图,右击鼠标查看元素就能得到flag2,计算器打开这道题,我们发现只能输入一个数,查看元素发现长度为一我们把1改为答案的长度就可以了这道题还有另一个更简单的做法,查看源代码看到&lt;script&gt;标签打开看看,直接就能找到flag3,矛盾打开题目,这是一个get传值,函数is_numeric代表检测变量是否为数字或数字字符串如果是返回true否则返回false,...
Ctf.show-web3复盘
weixin_54894046的博客
05-17 483
目录 重点看这个正则匹配 你问我为啥知道是前面的\\导致后面的|\* 匹配不到?我们可以做下一个实验 然后我们来做一下题目 <html> <head> <title>ctf.show萌新计划web1</title> <meta charset="utf-8"> </head> <body> <?php # 包含数据库连接文件 include("config.php"); # 判断get..
ctf杂项题:easy-nbt
CTF是一种信息安全竞赛,通常包括多种类型的问题和挑战,目的是考验参赛者的各种技能,如逆向工程、密码学、二进制分析、Web安全、移动安全等。CTF竞赛通常分为若干类别,其中"杂项题"通常包括各种需要特殊知识的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值