CTF网络安全大赛简单的web题:GET

于 2024-05-16 23:55:51 发布
阅读量374 收藏 3
点赞数 6
分类专栏: 网络安全 网安竞赛 文章标签: web安全 前端 安全 安全威胁分析 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbos2004/article/details/138979326
版权

题目来源于:bugku
题目难度:简单
这道题目只是简单的get请求就行了
下面是题目的源代码:

$what=$_GET['what'];<br>
echo $what;<br>
if($what=='flag')<br>
echo 'flag{****}';<br>

在上面的代码片段中,有几个问题和潜在的安全风险。首先,代码片段中缺少了PHP的<?php和?>标签,以及分号;来终止语句。另外,直接输出用户输入的内容可能会导致跨站脚本攻击(XSS)。

ctf.jpg

下面开始解题思路:
直接在url后面加上参数 what=flag 即可

原文链接: CTF网络安全大赛简单web题目:GET - 红客网-网络安全与渗透技术

红客网(blog.hongkewang.cn)

程序员贵哥
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全攻防大赛ctf
03-09
网络安全攻防大赛ctf
CTF网络安全大赛工具包集合
12-21
针对网络安全大赛的部分方向所需要的工具的集合
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真 zip
12-07
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真
网络安全选择ctf 63w字
07-19
网络安全选择库,全文共63w字,文件内容较多,打开可能会慢一些,等待即可,全文包括较多网络安全知识,对ctf比赛中的选择进行了部分汇总和整理
中国医院网络安全大赛2019初赛试.docx
01-21
“华三杯”中国医疗行业安全大赛2019初赛试,内容涵盖法律,操作系统,网络,计算机组成原理,等级保护,等。
CTF里面的WEB的一些解决思路
热门推荐
DALE1186487104的博客
04-19 4万+
CTF里面解决WEB的一些常用思路:(福利:末尾有视频链接)如图( 十八罗汉)                                                                                        PS:(下文的序列号是对图片中序列号的一些补充)WEB中常用的工具                                    (1...
CTF-Web入门-get_post
qq_28383747的博客
11-05 1201
考查HTTP的两种常见请求方法。对于get请求,可以直接在url后添加请求内容;对于post请求,一种快捷的方法是使用hackbar提供的post请求功能。
BugkuCTF-WEB源码
am_03的博客
08-26 265
根据提示 查看源码 有URL编码 解码并将其拼接 有一个假flag提交 得到真flag
2016 SWPU CTF web1目源码
10-31
2016 SWPU CTF web1目源码
ctf web——源代码
god_001的博客
03-28 1706
打开目网页: 于是查看网页源代码看到: 其中类似%66%75……的内容猜测是URL编码,解码后得到: 该脚本就相当于运行 函数checkSubmit(): 根据函数的含义,在网页中输入:67d709b2b54aa2aa648cf6e87a7114f1 得到结果: ...
CTF Web复现』[第三届第五空间网络安全大赛]PNG图⽚转换器
Ho1aAs‘s Blog
09-18 1921
[第三届第五空间网络安全大赛]PNG图⽚转换器;利用点: Ruby File.open()命令执行
CTF目合集_网络安全ctf大赛
最新发布
2401_84254418的博客
04-26 240
**如果满足上述条件,并且****file2的内容等于"hello ctf",那么它会包含****f****i****l****e****2****的内容等于****"****h****e****ll****oc****t****f****"****,那么它会包含****file1指定的文件。4. **需要用**!* **接着,它检查****file1和****f****i****l****e****1****和****file2是否都不为空。7. **最后的url为**4. **源码如下**
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger
weixin_40872714的博客
03-26 1539
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(布尔盲注、SSRF ) 场景描述:最新的网站测试器,作为非站长的你,能利用好它的功能吗? 场景打开后,如下,是个登录框 查看源码,发现可能的注入点 /image.php?id=2 布尔盲注 /image.php?id=if(1=1,1,5) True /image.php?id=if(1=2,1,5) False 条件为真时?id=1,回显第一张图片,条件为假时?id=5,没有id=5的图片,什么都没有。即可
CTF网络信息安全竞赛:记一次小比赛
CharlieYYang的博客
12-07 2090
文章目录Misc1、签到2、加密的压缩包3、内存取证Revers1、checkin2、babyasciicrypto1、bbcrypto2、bbaesPwn1、签到2 、 babyshell3 、 BabyStackOverflow4、easystack_level0Web1、 babyphp2、 nizhuansiwei总结 Misc 1、签到 Ctrl+c Ctrl+v 真·签到 2、加密的压缩包 下载附件解压里面是一个 py 和一个加密的压缩包一开始手抖双击了两下这个 e.py 直接弹出了一
CTF目合集
cgygsw的博客
01-26 2161
在给定的代码中,call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method(也就是调用ping函数的方法 也就是destruct下面那个ping函数),并将 $this->args 数组作为参数传递给该方法。反序列化之后就会调用wakeup这个函数 : 这个函数的内容 是对参数的内容进行了循环遍历 执行WAF函数的内容。
bugku ctf web4 (看看源代码吧)
qq_42777804的博客
08-13 1万+
  打开打开,刚刚有个sb问我借lol号玩,浪费时间 继续干正事   随便输入后,提示     再好好看看。。。 出人语文肯定不好 ,,,应该是这个 ‘再’ 吧   那我们查看源码     将那么明显的两行   进行 unescape解密 &lt;script&gt; var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%...
CTF中常见注入源码及脚本分析
weixin_30659829的博客
07-30 490
1.代码审计发现 这里没有用escape_string,因此存在注入。 1 function show($username){ 2 global $conn; 3 $sql = "select role from `user` where username ='".$username."'"; 4 $res = $conn ->query($sql); ...
CTF web日常积累——代码审计
zhy的博客
03-27 4415
1.变量1 目来源: https://ctf.bugku.com/challenges 这是一个入门的代码审计,难度不大,主要在于看代码逻辑和正则。 目链接直接打开便是一段php源码,直接观察这个代码。明显可以看到一个正则表达式,这个正则表达式意为匹配都是字母的串。 而这里明显光是正则表达式是不够的,继续仔细看,在最后有一个$$...
CTFweb篇——html源代码签到
suiyideAli的博客
09-21 5939
0x00 前言 做CTFweb中Html查看源代码的还是比较简单,对我而言,就是在源代码中找寻相关的关键字或者线索。 0x01 签到 进入靶场发现当前页面(最开始怀疑是靶场原因没进去,仔细研究后发现自己被障眼法了) 初次做的时候,在懵逼至于,点开了下一页 发现事情并不简单,于是退回,果断右键鼠标查看源代码, 暂且不考虑源代码多与少,直接 ctrl+f 查找 f...
ctf网络安全大赛理论
07-01
### 回答1: CTF网络安全大赛理论库是一个包含各类网络安全相关理论问库。这个库广泛覆盖了网络安全的各个领域,包括但不限于密码学、漏洞利用、网络协议、逆向工程、Web安全等。 理论库的设计意在检验参赛者对网络安全的理论知识的了解程度。通过解答这些理论问,参赛者需要展现对网络安全原理的掌握,并能够灵活运用这些知识来解决实际问。 对于密码学的目,参赛者需要了解常见的加密算法,例如对称加密算法(如DES、AES),非对称加密算法(如RSA、ECC),以及哈希函数等。同时,还需要了解不同加密算法的优缺点以及应用场景。 在漏洞利用方面,参赛者需要对常见的漏洞类型有基本的了解,例如缓冲区溢出、SQL注入、XSS攻击等。此外,还需要熟悉漏洞利用的方法和工具,如Metasploit、Nmap等。 对于网络协议目,参赛者需要熟悉各种常见的网络协议,例如TCP/IP、HTTP、FTP、SMTP等,并且了解这些协议的工作原理、特点以及可能存在的安全风险。 在逆向工程方面,参赛者需要具备基本的汇编语言知识,能够分析和理解二进制文件的结构和功能,并能够根据需求对其进行修改和定制。 Web安全是CTF竞赛中一大重要的领域。对于Web安全目,参赛者需要了解常见的Web漏洞类型,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等,并掌握相应的防御策略和工具使用。 综上所述,CTF网络安全大赛理论库的目的在于考察参赛者对于网络安全的理论知识和实际应用的掌握程度。这些理论问的解答能够帮助参赛者更好地理解和应对实际的网络安全挑战。 ### 回答2: CTF网络安全大赛理论库是为网络安全领域的竞技比赛而准备的一系列理论问集合。这些问旨在测试参赛者对于网络安全概念、技术和方法的理解和掌握程度。 库的内容通常涵盖各个方面的网络安全知识,包括但不限于网络攻防技术、密码学、漏洞利用、逆向工程、数据分析和取证等。参赛者需要将所学知识应用到实际问中,通过解答问或完成任务来获取积分。 CTF网络安全大赛理论库的目的是帮助参赛者提高他们的技能和知识水平。通过解答这些理论问,参赛者能够巩固自己的理论基础,拓宽自己的技术视野,了解网络安全的最新动态和趋势。 参加CTF网络安全大赛的选手应该在备赛阶段充分熟悉库中的问,并通过学习和实践来解决这些问库中的问涉及的知识领域广泛,所以选手需要有全面的网络安全知识储备和技术实践经验。 总之,CTF网络安全大赛理论库是参赛者为了更好地参与比赛而应准备的一系列理论问集合。通过对这些问的认真研究和解答,参赛者可以提高自己在网络安全领域的技术实力和知识水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值