CTF网络安全大赛简单的web题目:baby lfi

已于 2024-05-17 22:15:31 修改
阅读量562 收藏 7
点赞数 11
分类专栏: 网安竞赛 网络安全 文章标签: web安全 前端 安全 安全威胁分析 安全性测试
于 2024-05-17 22:04:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbos2004/article/details/139013863
版权

题目来源于:bugku
题目难度:简单
题目 描  述: What about making things a bit harder ?

题目源代码:

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <link
      rel="stylesheet"
      href="https://stackpath.bootstrapcdn.com/bootstrap/4.4.1/css/bootstrap.min.css"
      integrity="sha384-Vkoo8x4CGsO3+Hhxv8T/Q5PaXtkKtu6ug5TOeNV6gBiFeWPGFN9MuhOf23Q9Ifjh"
      crossorigin="anonymous"
    />
    <link rel="stylesheet" href="main.css" />
    <title>Say Hello to our Gentelmen | LFI Warmups</title>
</head>
<body>
<br /><br />
    <div class="container">
        <h1 id="h1">LFI Warmups</h1>
        <hr />
        <h2 id="challenge">Hello I can speak 2 languages !</h2>
        <hr />
        <u><b>Rules</b></u>
        <ul>
        <li>include some critical file <code> why not /etc/passwd</code></li>
        </ul>
        <hr />
        <u><b>Challenge</b></u>
        <pre>Please Select a language of your choice : en/fr </pre>
        <p><b>HINT :</b> use the <code>language parameter </code> :)</p>
        <hr />
        <p>
                    </p>
    </div>
</body>
</html>

这个HTML页面是一个简单的网页,标题为“Say Hello to our Gentlemen | LFI Warmups”,并包含了一些基本的Bootstrap样式和自定义的main.css样式表。这个页面似乎是一个挑战或学习任务的起点,专注于一个名为“LFI Warmups”的主题。

以下是页面内容的详细分析:

  1. 标题和元信息

    • 页面标题为“Say Hello to our Gentlemen | LFI Warmups”。
    • <meta charset="UTF-8" /> 指定了文档使用的字符编码。
    • <meta name="viewport" ...> 标签确保页面在不同设备上都能正确显示。

  2. 样式链接

    • 页面链接到了Bootstrap 4.4.1的CSS文件以获取基本样式。
    • 还链接到了一个名为main.css的自定义样式表,这可能包含页面的特定样式。

  3. 页面内容

    • <div class="container">:使用Bootstrap的container类来限制内容的宽度,并确保在不同设备上都有良好的布局。
    • 页面包含两个主要的标题<h1><h2>,分别显示“LFI Warmups”和“Hello I can speak 2 languages !”。
    • 有一条规则(<u><b>Rules</b></u>),指出需要包含一些“关键文件”,并给出了一个示例/etc/passwd(这暗示了可能与文件包含(LFI, Local File Inclusion)相关的挑战)。
    • 挑战部分(<u><b>Challenge</b></u>)要求用户选择一种语言(英语或法语),并给出了一个提示,建议使用“language参数”。

可能的任务或挑战

  • 考虑到页面上的“LFI Warmups”和规则部分提到的文件包含(/etc/passwd),这个页面可能是一个用于教授或测试本地文件包含(LFI)漏洞的学习任务或挑战。
  • 用户可能需要在URL或其他输入字段中添加特定的“language参数”来触发某些功能或访问特定的文件。
  • 由于提到了两种语言(英语和法语),用户可能需要通过更改这个参数来查看不同语言的内容或触发不同的响应。

安全注意

  • 如果这是一个真实的、公开的网站,并且真的允许用户通过输入参数来访问服务器上的文件,那么这将是一个严重的安全风险。文件包含漏洞可以被恶意利用来访问敏感文件或执行恶意代码。
  • 在学习或测试环境中使用这样的挑战时,请确保所有输入都经过了适当的验证和清理,以防止潜在的安全风险。


下面我们开始解题:
这个题目很简单
直接 “URL/?language=/etc/passwd” 即可获取到flag

原文链接: https://blog.hongkewang.cn/index.php/archives/249/

红客网:blog.hongkewang.cn

程序员贵哥
关注
  • 11
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全攻防大赛ctf题目
03-09
网络安全攻防大赛ctf题目
长春理工大学第六届网络安全校赛题目
06-15
内有re+web+pwn+misc杂项 博文地址:https://blog.csdn.net/m0_64659074/article/details/123853255?spm=1001.2014.3001.5502
CTF网络安全大赛工具包集合
12-21
针对网络安全大赛的部分方向所需要的工具的集合
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
CTF,全称Capture The Flag,是一种网络安全竞赛,参赛者需在虚拟环境中寻找并夺取对方的旗帜。而Web解题,则是CTF比赛中的一种重要类型。 在CTF Web解题中,我们的目标是找到隐藏在网站中的Flag。这些Flag就像宝藏一样,藏在网站的各个角落,只有找到它们,我们才能获得比赛的胜利。
CTF网络安全大赛web题目baby lfi 2
Pythonit教程网
05-17 412
这个HTML页面似乎是一个Web挑战或练习的一部分,特别是关于本地文件包含(Local File Inclusion, LFI)的。在这个挑战中,用户被要求通过某种方式访问一个名为。不过,这个HTML页面本身并没有包含任何执行LFI的代码。它只是一个前端界面,用于向用户展示挑战的规则和提示。的目录中的文件,以选择英语(en)或法语(fr)的语言设置。这个题目还是有点难度的,根据bugku的网友提供的解题思路。这样就能成功获取到flag,题目就解决了。题目来源于:bugku。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 1447
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web题目
CTF网络安全大赛简单web抓包题目:HEADache
Pythonit教程网
05-20 1003
题目 描  述: > Wanna learn about some types of headache?红客网:blog.hongkewang.cn。”,就能获取到flag,完成题目了。直接在抓包到的页面添加请求头“题目来源于:bugku。
2024年网络安全最新CTF —— 网络安全大赛_ctf网络安全大赛
2401_84281729的博客
05-01 1040
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
笔试题目汇总
steven_oyj的专栏
10-28 6318
第一篇 笔试题目 Intel今年笔试题 ●第一道是一个编译器优化的题目。条件大致说在ZF为0或者不为0的情况下,分别有两条移位指令可以移进去。然后出了两个小题,要你优化。 ●第二道是N个人围成一圈报数,报到某一个数的就出局,问你最后剩下来的那个人的号码。编程题。 ●第三道大致如下: 以下两个程序哪个的performance高,并解释为什么。 a) extern int foo(void); in
PAT甲级题目答案汇总PAT (Advanced Level) Practice (更新中)AcWing
m0_51448653的博客
09-26 5207
文章目录第一章、字符串处理1001 A+B Format (20 分)1005 Spell It Right (20 分)第二章、高精度1023 Have Fun with Numbers (20 分)第三章、进位制1015 Reversible Primes (20 分)1019 General Palindromic Number (20 分)第四章、排序第五章、树第六章、图论第七章、数学第八章、动态规划第九章、哈希表第十章、并查集第十一章、模拟1008 Elevator (20 分)1011 Worl
CTF 网络安全大赛详解:挑战自我,提升技能的竞技场
2401_84466359的博客
04-26 590
CTFCapture The Flag)网络安全大赛,是一种流行的信息安全竞赛形式,旨在考察参赛者在信息安全领域的知识、技能和实战能力。CTF 比赛通常以团队形式进行,参赛者需要解决各种安全挑战,获取 flag(标志),并提交 flag 以获得分数。
网络安全行为可控定义以及表现内容简述
行云管家
05-28 339
在数字化快速发展的今天,网络安全已成为国家和企业不可或缺的防线。据统计,网络攻击事件频发,给全球经济带来了巨大损失。因此,确保网络安全行为可控显得尤为重要。今天我们来聊聊网络安全行为可控定义以及表现内容。
网络安全的神秘世界】使用vulhub搭建漏洞测试靶场
weixin_54750312的博客
05-31 208
Vulhub是一个基于docker和的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
网络安全的神秘世界】在win11搭建pikachu靶场
最新发布
weixin_54750312的博客
05-31 584
这个错误发生在mysql 5.7 版本及以上版本会出现的问题,在mysql5.7版本默认的sql配置是:sql_mode=“ONLY_FULL_GROUP_BY”,这个配置严格执行了"SQL92标准",很多从5.6升级到5.7时,为了语法兼容,大部分都会选择调整sql_mode,使其保持跟5.6一致,为了尽量兼容程序。访问http://pikachu/install.php,这是pikachu自带的初始化数据库的php文件。ok,重新访问首页(index.php),进行测试,成功解决。点击“安装/初始化”
网络安全的神秘世界】MySQL
weixin_54750312的博客
05-31 185
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 994
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
网络安全||信息加解密技术以及密钥管理技术
2401_84434570的博客
05-31 582
IDEA:128位密钥、64位数据块、比DES的加密性好、对计算机功能要求相对低,PGP。对称加密(又称为私人密钥加密/共享密钥加密):加密与解密使用同一密钥。非对称加密(又称为公开密钥加密):密钥必须成对使用(公钥加密,相应的私钥解密)。:高级加密标准,又称Rijndael加密法,是美国政府采用的一种区块加密标准。,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;:替换+移位、56位密钥、64位数据块、速度快、密钥易产生。2048位(或1024位)密钥、计算量极大、难破解。
ctf网络安全大赛理论题库
07-01
### 回答1: CTF网络安全大赛理论题库是一个包含各类网络安全相关理论问题的题库。这个题库广泛覆盖了网络安全的各个领域,包括但不限于密码学、漏洞利用、网络协议、逆向工程、Web安全等。 理论题库的设计意在检验参赛者对网络安全的理论知识的了解程度。通过解答这些理论问题,参赛者需要展现对网络安全原理的掌握,并能够灵活运用这些知识来解决实际问题。 对于密码学的题目,参赛者需要了解常见的加密算法,例如对称加密算法(如DES、AES),非对称加密算法(如RSA、ECC),以及哈希函数等。同时,还需要了解不同加密算法的优缺点以及应用场景。 在漏洞利用方面,参赛者需要对常见的漏洞类型有基本的了解,例如缓冲区溢出、SQL注入、XSS攻击等。此外,还需要熟悉漏洞利用的方法和工具,如Metasploit、Nmap等。 对于网络协议题目,参赛者需要熟悉各种常见的网络协议,例如TCP/IP、HTTP、FTP、SMTP等,并且了解这些协议的工作原理、特点以及可能存在的安全风险。 在逆向工程方面,参赛者需要具备基本的汇编语言知识,能够分析和理解二进制文件的结构和功能,并能够根据需求对其进行修改和定制。 Web安全CTF竞赛中一大重要的领域。对于Web安全题目,参赛者需要了解常见的Web漏洞类型,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等,并掌握相应的防御策略和工具使用。 综上所述,CTF网络安全大赛理论题库的目的在于考察参赛者对于网络安全的理论知识和实际应用的掌握程度。这些理论问题的解答能够帮助参赛者更好地理解和应对实际的网络安全挑战。 ### 回答2: CTF网络安全大赛理论题库是为网络安全领域的竞技比赛而准备的一系列理论问题集合。这些问题旨在测试参赛者对于网络安全概念、技术和方法的理解和掌握程度。 题库的内容通常涵盖各个方面的网络安全知识,包括但不限于网络攻防技术、密码学、漏洞利用、逆向工程、数据分析和取证等。参赛者需要将所学知识应用到实际问题中,通过解答问题或完成任务来获取积分。 CTF网络安全大赛理论题库的目的是帮助参赛者提高他们的技能和知识水平。通过解答这些理论问题,参赛者能够巩固自己的理论基础,拓宽自己的技术视野,了解网络安全的最新动态和趋势。 参加CTF网络安全大赛的选手应该在备赛阶段充分熟悉题库中的问题,并通过学习和实践来解决这些问题。题库中的问题涉及的知识领域广泛,所以选手需要有全面的网络安全知识储备和技术实践经验。 总之,CTF网络安全大赛理论题库是参赛者为了更好地参与比赛而应准备的一系列理论问题集合。通过对这些问题的认真研究和解答,参赛者可以提高自己在网络安全领域的技术实力和知识水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值