BugkuCTF-WEB题速度要快

最新推荐文章于 2022-10-07 21:12:58 发布
最新推荐文章于 2022-10-07 21:12:58 发布
阅读量703 收藏 1
点赞数 1
分类专栏: # BugkuCTF-WEB 文章标签: python 爬虫 flask 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/am_03/article/details/119958750
版权
本文总结了一次Bugku CTF Web题目,挑战涉及Python爬虫和Flask安全。通过观察网页源代码,发现需要POST指定参数。使用Burp Suite抓包分析,经过两次Base64解码,最终获得flag。文章提供了解题过程和Python脚本执行的步骤。
摘要由CSDN通过智能技术生成

此题小结:

用python脚本获取网页内容以及post数据
主要函数:
s= requests.session()
url=’’
return= s.get(url). # 可以获取header等信息
data={}
最后传值:s.post(data=data)

解题流程

打开网页,只看到一句话:我感觉你得快点!!!
在这里插入图片描述
F12查看源代码
发现了提示:OK ,now you have to post the margin what you find
需要以POST方式传参,先用BrupSuite抓包看一下
1、使用BrupSuite抓包并重新发送
在这里插入图片描述
在这里插入图片描述
发送后看到flag
2、使用base64解码
在这里插入图片描述
跑的还不错,给你flag吧: MTMyOTIx
3、继续进行一次base64解码
在这里插入图片描述
4、通过post方法上传margin=132921
在这里插入图片描述
还要再快点,看来有时间限制,不过已经有了思路,可以编写python脚本了

最低0.47元/天 解锁文章
彬彬有礼am_03
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku-速度
MIGENGKING的博客
04-10 614
打开目: 抓包: 但是多GO几次就会发现flag值是动态改变的,所以发送post请求时必须与get请求在同一会话下才能行。先把flag拿去base64解码 抓包后虽然有flag但不是真的,包里面还有"margin"等关键词注意,这时需要自己写脚本 py脚本如下: import requests import base64 url = "http:...
Bugku——速度
yc20030119的博客
08-05 336
bugku——速度
BUGKU目之速度
QingHe1314的博客
11-08 436
初入Python,看到很多大佬都是通过写脚本的方式获取到FLAG,因为抓到的包的response里falg一直会变。这里呈上大佬的Python脚本。顺便学习,把函数的用法记下,方便日后自己的学习。 #coding:utf-8 import requests #引入模板 import base64 s =requests.Session() #记录session hea...
Bugku - 速度
多崎巡礼的博客
08-26 3184
emm备份,学习 import requests import base64 url = 'http://120.24.86.145:8002/web6/' req = requests.session() res = req.get(url) flag = res.headers['flag'] txt = base64.b64decode(flag) txt = txt[txt.ind...
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB记录-11-15_weixin_3069946
07-25
BugkuCTF WEB记录 11-15_weixin_30699463的博客-CSDN博客来源:
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
CTF-AWD-WEB:AWD 模式下的WEB仓库
05-17
在"CTF-AWD-WEB"中,重点在于Web安全领域,涵盖了各种Web应用漏洞和防护技巧。 本资源"CTF-AWD-WEB"是一个包含了多个AWD模式下Web的仓库,这些试可能来源于不同的CTF线下赛事。通过这些试,学习者可以深入...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
详解 CTF Web 中的速反弹 POST 请求
小水池
08-11 8373
目录 0x00 前言 0x01 Python Requests 安装并导入 requests 模块 发送 GET 请求与 POST 请求 查看请求头 查看响应头 查看响应内容 传递 GET 请求参数 传递 POST 请求参数 传递 Cookie 参数 会话对象 Session() 0x02 writeups 【实验吧 CTF】 Web —— 天下武功唯不破 【Bugk...
bugku之速度
Seaern的博客
07-31 242
目链接 页面提示你: 我感觉你得点!!! 一看就是base64编码 源码提示 OK ,now you have to post the margin what you find 在短时间内提交解码后的margin(需要二次解码) 脚本: import requests import base64 url = 'http://123.206.87.240:8002/web6/' r...
CTF-(i春秋 春秋欢乐杯 web hello world)
weixin_44089266的博客
04-11 2603
目传送门challge 打开网站发现只显示了Hello word,打开开发者工具,network模块,发现有一个404 考虑是否有flag.js文件,输入查询后,发现 由于代码过长,考虑换种思路,经查阅,此种可能git源码泄露,一般会有 ./git/config文件,尝试访问,确实存在. 然后在kali上安装Git_Extract工具,用来下载该站源码。安装Git_Extract过程如下 g...
BUUCTF-[ACTF2020 新生赛]Include1
山可行,海可平
07-18 657
初态 只有一个链接 点开只有一句话 解思路 啥提示也没,先看源码 第二个里面没信息,第一个页面里面有个file=flag.php,指向的是第二个页面 所以有个file参数,可以考虑是文件包含---->考虑要包含啥 没有文件提示,考虑data与日志 data用base64版传入,被检测了 则尝试日志上传 日志修改UA <?php echo'666';@eval($_POST['cmd'])?> echo一下一会好看出来有没有上传成功 检查一下有没有 上传成功!~~
ctf.show 通关秘籍
qq_37970270的博客
09-13 1375
@ CTF.show 1.web签到 访问web签到的地址,发现页面只有"where is flag"字样 使用Fn+F12进入调试模式,或者页面空白处点击右键查看网页源代码,发现页面中有一段英文字符串被注释了,根据编码规则猜测使用的是base64的加密方式。 使用解码平台尝试解码,示例使用站长之家,成功获取到flag。(url:http://tool.chinaz.com/tools/base64.aspx) ...
Bugku:web 速度
qq_26961571的博客
07-10 277
这道看标就嗅到了一股编程的气息,绝对是人做不到的那种。 老方法先看 要点干什么也没有说清楚。查看网页源代码! 有一条很关键的注释,需要POST the margin。这个margin在哪里找呢?? 一般在网页的CSS里面,或者说网站发包的头部里面。 那么先打开BurpSuite进行抓包检查。 这里据说有一条PHPSESSID表示session 的 id。 打开其中一个包,选择Response,发现在头部果然有...
速度bugku!wp
qq_41333578的博客
06-16 333
第一次正式写博客记录学习啦 这是一道bugku平台的一道web,今天距上一次写CTF差不多有两个月了,抱歉!走了一趟写策划书的开发路线(发现自己真语言组织能力太low,而且也没啥开发经验,就像写作文一样次次都是写着文档走创意赛,,,),打算回归我的CTF正常轨道,希望还能赶上之前的朋友们进度,为自己鼓励!!!! 屁话太多,会被打,言归正 首先这是一周前写的,今天重做了一遍 打开网站,常规...
[xctf] 江苏工匠杯easyphp【web系列】
shutTD的博客
10-07 2032
这里绕来绕去大部分还是弱相等问,出现的知识点的要求就是自己编写哈希碰撞脚本的能力,intval的绕过,array_search的绕过还是值得记下来的。
CTF-WEB(8)
Zhang_hongchao的博客
02-28 297
打开网址出现一段代码: 根据目描述可以得知flag在flag.php文件中,且在源代码中发现hello并未赋值。 这里给Hello随便赋值,然后定义一个变量去读flag.php就可以了。 在地址后面直接添加/?hello=1,$v=file(%27./flag.php%27),print_r($v),可以得到flag。 ...
bugku ctf sqli-0x1
最新发布
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战目供参赛者解答。sqli-0x1是其中一个SQL注入目,下面是该目的解思路: 1. 目描述:sqli-0x1是一个简单的SQL注入目,要求获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值