CTF网络安全大赛web题目:baby lfi 2

最新推荐文章于 2024-06-21 15:11:01 发布
最新推荐文章于 2024-06-21 15:11:01 发布
阅读量427 收藏 11
点赞数 4
分类专栏: 网安竞赛 网络安全 文章标签: web安全 前端 安全 php 安全威胁分析 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbos2004/article/details/139014473
版权

题目来源于:bugku
题目难度:难
题目 描  述: What about making things a bit harder ?

题目源代码:

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <link
      rel="stylesheet"
      href="https://cdn.bootcdn.net/ajax/libs/twitter-bootstrap/5.2.3/css/bootstrap.min.css"
      integrity="sha384-Vkoo8x4CGsO3+Hhxv8T/Q5PaXtkKtu6ug5TOeNV6gBiFeWPGFN9MuhOf23Q9Ifjh"
      crossorigin="anonymous"
    />
    <link rel="stylesheet" href="main.css" />
    <title>Say Hello to our Gentelmen | LFI Warmups</title>
</head>
<body>
<br /><br />
    <div class="container">
        <h1 id="h1">LFI Warmups - level 2</h1>
        <hr />
        <h2 id="challenge">Hello I can speak 2 languages !</h2>
        <hr />
        <u><b>Rules</b></u>
        <ul>
        <li>include some critical file <code> why not /etc/passwd</code></li>
        </ul>
        <hr />
        <u><b>Challenge</b></u>
        <p>Please Select a language of your choice : en/fr </p>
        <p><b>HINT :</b> Approved Paths, there is a <code>languages </code> directory, I wont tell you what's stocked in it ? ;)</p>
        <hr />
        <p>
                    </p>
    </div>
</body>
</html>

这个HTML页面似乎是一个Web挑战或练习的一部分,特别是关于本地文件包含(Local File Inclusion, LFI)的。在这个挑战中,用户被要求通过某种方式访问一个名为languages的目录中的文件,以选择英语(en)或法语(fr)的语言设置。

不过,这个HTML页面本身并没有包含任何执行LFI的代码。它只是一个前端界面,用于向用户展示挑战的规则和提示。

这里有一些关键点:

  1. 挑战规则:规则中提到要“include some critical file”,并给出了一个例子/etc/passwd。但在一个真正的Web应用中,直接包含像/etc/passwd这样的系统文件是不安全的,也是不可能的(除非存在严重的安全漏洞)。
  2. 挑战内容:用户被要求选择一种语言(en/fr)。这可能意味着后端代码会根据用户的选择来包含或读取languages目录下的某个文件(例如en.txtfr.txt)。
  3. HINT:提示说“Approved Paths, there is a languages directory”。这意味着用户应该尝试访问languages目录下的文件。
  4. 潜在的LFI风险:虽然这个HTML页面本身没有LFI风险,但后端代码(可能是PHP、Python等)可能会根据用户输入来动态包含文件。如果后端代码没有正确验证或转义用户输入,就可能导致LFI漏洞。

为了完成这个挑战,你可能需要:

  • 访问后端代码(如果可用)以了解它是如何处理用户输入的。
  • 尝试通过修改URL或发送POST请求来传递不同的语言参数(例如?lang=en?lang=fr)。
  • 使用开发者工具(如浏览器的Network或Console标签页)来查看和调试HTTP请求和响应。
  • 根据后端代码的行为和响应来确定如何成功访问languages目录下的文件。

ctf.jpg


下面我们开始解题:
这个题目还是有点难度的,根据bugku的网友提供的解题思路
我们直接输入“ URL/?language=./languages/../../../../etc/passwd
这样就能成功获取到flag,题目就解决了

原文链接: CTF网络安全大赛web题目:baby lfi 2 - [红客网]网络编程与渗透技术笔记

红客网:blog.hongkewang.cn

程序员贵哥
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 | CTF】攻防世界 web2 解题详析
等风来
05-25 3355
可通过逆向加密算法的步骤,对 $miwen 进行相反的操作,即先使用 str_rot13 还原,然后使用 strrev 翻转,再使用 base64 解码,最后对每个字符的 ASCII 值减 1 ,再进行翻转即可得到 flag。其中,str_rot13 是一个简单的字符替换算法,将每个字符替换为它在字母表中向后移动 13 位后对应的字符。这个算法是一种经典的简单加密方法,可以用来隐藏字符串的真实含义。这段代码定义了一个函数 encode,接受一个字符串参数 $str,并返回对其进行加密后的结果。
网络安全 | CTF】攻防世界 baby_web 解题详析
等风来
05-21 4327
当用户请求访问一个使用 PHP 构建的网站时,Web 服务器将会搜索该网站根目录下是否存在名为 index.php 的文件,如果找到了该文件,则会将其视为默认的初始页面文件并返回给用户。具体来说,当访问一个 URL 时,服务器返回 302 状态码和一个 Location 头部字段,该字段指示了资源被临时移动到的新 URL 地址。这两个文件名都是 Web 服务器默认的首选文件名,当用户访问一个网站时,服务器会优先寻找这些文件并返回给用户。文件是最常用的初始页面文件名,它在网站根目录下。
CTF网络安全大赛简单的web题目baby lfi
Pythonit教程网
05-17 580
这个HTML页面是一个简单的网页,标题为“Say Hello to our Gentlemen | LFI Warmups”,并包含了一些基本的Bootstrap样式和自定义的。题目 描  述: What about making things a bit harder?这个页面似乎是一个挑战或学习任务的起点,专注于一个名为“LFI Warmups”的主题。红客网:blog.hongkewang.cn。题目来源于:bugku。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 1537
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web题目
CTF网络安全大赛简单的web抓包题目:HEADache
Pythonit教程网
05-20 1368
题目 描  述: > Wanna learn about some types of headache?红客网:blog.hongkewang.cn。”,就能获取到flag,完成题目了。直接在抓包到的页面添加请求头“题目来源于:bugku。
ctf网络安全大赛web
qq_45721814的博客
11-09 4413
CTF竞赛模式分为以下三类: 一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 二、攻防模式(Attack-Defense)在攻防模式CTF赛制中,...
小白从0学习ctfweb安全
zyh1588的博客
03-30 1455
小白从0学习ctfweb安全-文件包含漏洞1)
CTF比赛中web安全题型讲解
白帽子凯哥聊黑客
12-11 1893
CTF(Capture The Flag)竞赛中,Web安全题目测试参赛者对Web应用漏洞利用和防御能力的重要环节。
网络安全CTFWeb基础
晓梦林的博客
09-21 7033
Web类的考试,在CTF比赛中十分常见。本人从计算机专业转网络安全发展,属于半路出家,一知半解,如有总结不到位的地方,欢迎交流分享。
网络安全攻防大赛ctf题目
03-09
网络安全攻防大赛ctf题目
CTF网络安全大赛工具包集合
12-21
针对网络安全大赛的部分方向所需要的工具的集合
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
CTF,全称Capture The Flag,是一种网络安全竞赛,参赛者需在虚拟环境中寻找并夺取对方的旗帜。而Web解题,则是CTF比赛中的一种重要类型。 在CTF Web解题中,我们的目标是找到隐藏在网站中的Flag。这些Flag就像宝藏...
长春理工大学第六届网络安全校赛题目
06-15
内有re+web+pwn+misc杂项 博文地址:https://blog.csdn.net/m0_64659074/article/details/123853255?spm=1001.2014.3001.5502
数据泄露预防:网络安全的最佳实践
weixin_64392888的博客
06-21 322
通过实施上述最佳实践,组织和个人可以显著提高数据保护能力,降低数据泄露的风险。随着网络安全威胁的不断演变,我们需要持续关注新的安全技术和方法,不断更新和完善数据保护策略。本文将探讨预防数据泄露的最佳实践,帮助组织和个人建立起强大的网络安全防线。通过采取积极的预防措施和建立有效的应急响应机制,我们可以更好地保护我们的数字世界,享受安全、可靠的网络环境。因此,了解数据泄露的危害,增强防范意识,是预防数据泄露的第一步。对存储和传输的数据进行加密处理,即使数据被泄露,也无法被未授权者阅读。
网络安全网络安全威胁及途径
衍生星球的博客
06-17 152
目前,网络的主要应用包括:电子商务、网上银行、股票、证券、期货交易、即时通信、邮件、网游、下载文件或点击链接等,这些应用都存在大量的安全威胁和隐患。网络安全管理中出现的漏洞和疏忽都属于人为因素,网络安全中最突出的问题是缺乏完善的法律法规、管理准则规范和制度、网络安全组织机构及人员,不够重视或缺少安全检测及实时有效的监控、维护和审计。网络安全威胁和风险主要涉及网络系统研发、结构、层次、范畴、应用和管理等,要做好网络安全防范,必须进行认真深入的调研、分析和研究,以解决网络系统的安全风险及隐患。
网络安全之Windows提权(上篇)(高级进阶)
最新发布
weixin_70911257的博客
06-21 576
提权顾名思义就是提升我们的权限能够让我们去做更多的事,就好比皇帝跟大臣,很多事情只有皇帝能做,大臣做不了例如拟圣旨,掌管虎符,拥有所有人的生杀大权,我们提权的目的就是当皇帝,皇帝做的我们也能做。说一下我的渗透思路吧,首先通过对方服务器的各种漏洞将我们的一句话木马上传至对方的服务器然后通过各种渗透工具连接服务器拿到基本的shell权限,然后将权限提升至基本用户权限,再通过对方补丁漏洞提升至最高权限。
ctf网络安全大赛理论题库
07-01
CTF网络安全大赛理论题库是一个包含各类网络安全相关理论问题的题库。这个题库广泛覆盖了网络安全的各个领域,包括但不限于密码学、漏洞利用、网络协议、逆向工程、Web安全等。 理论题库的设计意在检验参赛者对网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值