[hackinglab][CTF][脚本关][2020] hackinglab 脚本关 writeup

最新推荐文章于 2024-05-14 19:20:53 发布
最新推荐文章于 2024-05-14 19:20:53 发布
阅读量552 收藏
点赞数
分类专栏: CTF 文章标签: hackinglab CTF 脚本关 writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dadongwudi/article/details/112639091
版权

脚本关 1 key又又找不到了
关键字:
知识点:
步骤:点击提供的链接后,实际发生了两次跳转,key 在第一次跳转的网页中,key is : yougotit_script_now
在这里插入图片描述

脚本关 2 快速口算
关键字:
知识点:python基础
1.python–正则表达式中(.)()(.?)以及re.S的认识

#-*-coding:gb2312-*-
__author__ = 'fudandax'
import re
str = 'aabhh\nacbccd\na\nbbdffbgg'
#一个'.'就是匹配\n(换行符)以外的任何字符
print(re.findall(r'a.b',str))
#一个'*'前面的字符出现0次或以上
print(re.findall(r'a*b',str))
#贪婪,匹配从.*前面为开始到后面为结束的所有内容。
print(re.findall(r'a.*b',str))
#非贪婪,遇到开始和结束就截取,因此截取多次符合的结果,中间没有字符也会被截取 ???
print(re.findall(r'a.*?b',str))
#非贪婪,与上面是一样的,只是与上面相比,多了一个括号,只保留括号中的内容
print(re.findall(r'a(.*?)b',str))
#re.S不会对\n进行中断
print(re.findall(r'a(.*?)b',str,re.S))
#保留a,b中间的内容
print(re.findall(r'a(.+?)b',str))
print(re.findall(r'a(.+?)b',str)[0])

2.eval() 函数用来执行一个字符串表达式,并返回表达式的值。
3.
步骤:

import requests
import re

url = 'http://lab1.xseclab.com/xss2_0d557e6d2a4ac08b749b61473a075be1/index.php'


s= requests.Session()
r=s.get(url)
r.encoding='utf-8'
print(r.text)
num=re.findall(re.compile(r'<br/>\s+(.*?)='),r.text)[0]
#print(re.findall(re.compile(r'<br/>\s+(.*?)='),r.text)) #['6970*21290+48*(6970+21290)']
#print(re.findall(re.compile(r'<br/>\s+(.*?)='),r.text)[0]) #6970*21290+48*(6970+21290)
result=eval(num)

print
最低0.47元/天 解锁文章
CryptWinter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络信息安全攻防学习平台-脚本 writeup
4ct10n
09-17 2万+
1.key又又找不到了直接burpsuit截断 出flag key is : yougotit_script_now2 .快速口算这道题比较有意思 在两秒钟之内回答他的算术题 思路:直接编写python脚本访问网站,获取html计算算式,得出答案,post传参,注意要建立长连接。 代码如下:#-*-coding:utf-8-*- import requests, re url = '
BugKu Web WriteUp
AlexYoung28的博客
08-24 2200
Web 8 这道题的代码和前面的文件包含写的思路一样, 我们都是运用  php://input 写,来实现我们从文件中读出的数据和我们传入的数据一样。 我写的如下:  只要保证  $ac  的值 和我们写入文件  $fn 的值 一样即可, 我这里都写的是 123 细心 这道题刚开始看到主页之后,又看了源代码和抓了包,发现都没有什么特别的地方,所以,只有拿御剑扫描一下后台。 ...
网络安全最全CTF常用脚本工具(附下载地址)_ctf工具集合下载(1),大专生三面蚂蚁金服
最新发布
2401_84253089的博客
05-14 760
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
xss-labs 通笔记
Ewige的博客
06-30 469
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
白帽子之web漏洞--xss攻击
鼓浪屿岛与海的博客
12-04 471
本文仅供学习,不支持一切以不法利益为目的的商业攻击 一.xss攻击原理 xss 是“跨站脚本攻击”,是一种注入攻击,当web应用对用户输入过滤的不严格时,攻击者写入恶意的脚本(CSS,HTML,JavaScript)到网页中时,如果访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击 二.常见xss危害 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 ...
xss跳转代码_XSS跨站脚本攻击-靶场writeup&总结
weixin_39963819的博客
11-21 542
XSS简介XSS(跨站脚本攻击)是指攻击者在网页中嵌入客户端脚本,通常是Javascript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将在用户的浏览器上被解析执行。XSS Education环境搭建docker search xss # 搜索docker镜像,找到xss education对应的image docker run -d -p {p}:80 {sha} # {...
[hackinglab][CTF][上传][2020] hackinglab 上传 writeup
dadongwudi的博客
01-17 220
上传 1 请上传一张jpg格式的图片 键字: 步骤: 1.F12查看源码 2.输入网址 获得key http://lab1.xseclab.com/upload1_a4daf6890f1166fd88f386f098b182af/upload_file.php 上传 2 键字:burp 知识点: 步骤:看源码 抓包 改后缀 IKHJL9786#$%^& 上传 3 键字: 知识点: 步骤:看源码 抓包 改后缀 ...
De1ctf 2020 -‘check in’ writeup
01-09
CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相的方面。该题目的核心是通过理解并利用服务器配置中...
ctf:CTF(捕获标志)文字,代码段,注释,脚本
05-13
午夜CTF 2020 Admpanel,Pwn 58pts 2019年 TAMUctf 2019 Web 478鸟箱 登录应用程序,网站477 https://github.com/bl4de/ctf/blob/master/2019/TAMUCTF_2019/writeups/Web4_Login_App.md 2018年 DEFCON QUALS ...
2022强国杯writeup
07-17
2022强国杯writeup CTF(Capture The Flag)是一种网络安全比赛形式,旨在测试参与者的网络攻击和防御能力。在这场强国杯比赛中,我们将对misc、crypto和web三个方向的题目进行分析和解释。 Misc 在Misc分类中,...
public-writeup:Pwning 格子议会的 CTF 文章
07-24
这在Pwn挑战中至重要,因为通常需要连接到目标服务器,发送精心构造的payload(载荷)并接收响应。 4. **文件操作**:在Pwning题目中,可能需要读取或写入本地文件。Python的`open()`函数可以实现这一功能,还有`...
江苏科技大学校赛JUSTCTF个人writeup
01-17
"CTF 竞赛Writeup" CTF 竞赛是指 Capture The Flag 竞赛,是一种主要面向网络安全和编程爱好者的竞赛。JUSTCTF 是江苏科技大学举办的 CTF 竞赛,本文将对该竞赛的题目进行总结和解析。 一、直接 flag 直接 flag ...
ctf入门(转载)
wxy201008的博客
08-28 2121
CTF入门指南(0基础) ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相的大数据 reverse 逆向windows、linux类 ppc 编程类的 国内外著名比赛 国外: 国内:xctf联赛 0ctf上海国...
kali linux 2.0 web 渗透测试 电子书
weixin_33888907的博客
06-01 435
打起精神,重新开启订阅号的原创文章写作工作,但是需要点时间,请耐心等待。 求资料的同学,没有及时回复的,请再次留言,我会尽快处理。今天分享两本电子书,虽然是英文的,但是难度不高。 第一本是基于Kali 2.0 的web渗透测试 链接: pan.baidu.com/s/1slLgAAD 密码: 8gvn 第二本是基于Hadoop的大数据取证技术 链接: pan.baidu.com/s/1qY37DM...
做了一个XSS的闯游戏,攻略贴上来
yd0str
12-13 8741
游戏地址: http://xss-quiz.int21h.jp 第一:比较简单,直接输入 http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9 第二:也相对简单,闭合标签 http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb20
Web安全--XSS(跨站脚本攻击)
bobo_milk的博客
11-14 812
攻击者向web页面插入恶意可执行脚本代码,当用户浏览该页面时,嵌入到web页面的恶意代码就会被执行,从而达到攻击者盗取用户信息或侵犯用户安全隐私的目的。存储型:代码存放在服务器中,一般在个人信息或留言等地方,每当访问该页面就会触发代码(具有很高隐蔽性)DOM型:处理后的结果会成为页面的一部分,不提交数据到服务器,从客户端获得DOM中的数据在本地执行。存储型:发送一次带有xss代码的请求,以后在这个页面数据包都会有xss代码。反射型:发送一次带有xss代码的请求,只在当前数据包会有xss代码。
burp intruder爆破出现 Payload set 1: Invalid number settings的解决办法
热门推荐
m0_46315342的博客
07-15 1万+
如果点击start attrack 后出现 Payload set 1: Invalid number settings 的提示,先点hex 后点 decimal 再开始start attrack,这是一个软件bug,需要手动让它刷新。 如果你是第一次打开这个这个页面,可能设置了范围之后就可以进行爆破,但是如果你要再次利用这个包进行爆破,可能就会出现第一张图的提示信息。 当你先点hex 后点 decimal 再开始start attrack,这时数字就会变化,就刷新了。 就先点一下HEX,然后再点一点De
XSS渗透测试
m0_51426816的博客
02-25 758
渗透测试基本原理:依据渗透策略生成攻击向量,提交给Web服务器,然后根据Web服务器返回的网页来判断相应的检测点是否存在XSS漏洞 一.渗透策略 渗透策略规定了向Web服务器提交的内容,并根据Web服务器的返回信息来决定下一步的提交方案 流程: 二.合法字符串测试 Web服务器对检测点所提交的内容做不同的处理,并返回不同的网页,根据对返回网页的分析,排除掉不可能存在XSS漏洞的检测点,从而提高检测效率 三.攻击向量测试 模拟浏览器提交表单的过程向检测点注入攻击向量。根据action、method、type
2019ISCC writeup(相对简单)-b64_c3VuJTIwYm95-it720.docx
11-29
在2019年信息安全挑战大会(ISCC)的CTF安全比赛中,有一道相对简单的题目,题目名为"2019ISCC writeup"。这道题目属于代码审计类别,主要考察参赛者对PHP函数的理解和利用,特别是涉及到的缺陷或特性分析。挑战者需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值