CTF Web的一些基础玩法

最新推荐文章于 2024-10-05 09:00:00 发布
最新推荐文章于 2024-10-05 09:00:00 发布
阅读量1.3k 收藏 5
点赞数
文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/euphrioa/article/details/124206717
版权
博主分享了初次尝试CTF比赛的经历,主要涉及Web安全领域的题目。包括解除按钮禁用、理解robots.txt协议以及简单密码爆破。通过设置document.oncontextmenu和修改input属性解决第一题;了解robots.txt文件对搜索引擎爬虫的限制;使用Burp Suite进行字典爆破找到不同响应长度的密码,从而获得flag。博客展现了CTF的乐趣和前端开发者在网络安全领域的实践。
摘要由CSDN通过智能技术生成
最近博主无聊的开始想打打ctf,开个博客记录一下。。

博主平时做前端开发做的比较多,ctf这边就打打web了。

1.按不下去的按钮和复制不了的文字

按钮按不了,控制台获取这个input对象设置其disabled为false,点击就可以。
在这里插入图片描述
这题本意是用document.οncοntextmenu=true设置右键可用,按下f12其实就好了。。
在这里插入图片描述

2.robots协议

robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,就可以创建和编辑它 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉爬虫程序在服务器上什么文件是可以被查看的。
当一个搜索爬虫访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索爬虫将能够访问网站上所有没有被口令保护的页面。
协议显示禁止抓取这个php文件,输入框直接访问该文件可得到flag。

在这里插入图片描述
robots协议文件写法举例:
在这里插入图片描述

3.简单的密码爆破

不知道密码,用户名为admin。用burp抓包暴力破解。
在这里插入图片描述
用网上下载的字典进行爆破,发现当密码为123456时,返回的数据长度不一样。查看response即可发现flag。
在这里插入图片描述

暂时先更到这里了。。作简单的记录用,感觉这一块比码代码有意思多了,哈哈
Kyon.h
关注
bugkuctf web 部分wp(自己看得懂)
LJW_wenjingli7的博客
12-15 2575
1.本地管理员 进入网址,查源码,异常的一串n,拉进度条看 == 是base64,解出test123 ,像密码。 这种未知的系统一般要爆破,随便填账号密码,连接代理,打开bp 右键发到repeater,去掉cookie请求,用XXF伪造请求IP,(能考虑到管理员可能是admin,直接省略改名)改user=admin,发送即可 **XXF: X-Forwarded-For:(HTTP的请求端真实的IP) 如题中的:X-Forwarded-For:127.0.0.1 XFF注入..
CTF Web学习(二)----代码审计、burp suite应用
网络猿的博客
01-10 1281
CTF Web学习(二) 代码审计、burp suite应用 CTF Web学习目录链接 CTF Web学习(一):基础篇及头文件修改、隐藏 CTF Web学习(二):代码审计、burp suite应用 文章目录CTF Web学习(二)前言一、BugKu Web题(一)BugKu Web5 矛盾(二)BugKu Web8 文件包含(三)BugKu Web9 flag In the variable !(四)BugKu Web11 网站被黑了 黑客会不会留下后门(五)BugKu Web12 本地管理员(六
从零开始学习CTF——CTF是什么
HUANGXIN9898的博客
09-21 306
中文一般译作夺旗赛(对大部分新手也可以叫签到赛),在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式一般大型比赛大都是i春秋承办的,以小组的形式比赛,分预选赛和总决赛。预选赛都是线上比赛,比赛形式几乎都是解题模式。进入官方提供的网站,登录账号密码后会到一个页面,题目按类别分类(后续会讲有什么类别),点击后提供题目链接题目信息题目提示和flag(答案)提交,提交后会得到分数。
BugkuCTF web game1
ChaoYue_miku的博客
07-15 2494
** 0、使用firefox打开网页,发现是盖楼游戏 ** 先玩一下游戏 1、游戏结束之后,查看网络活动 发现发送了一个php类型的数据 score.php?score=50&ip=223.72.62.234&sign=zMNTA=== 其中sige的内容是zM+base64(score) "50"的base64编码正好是NTA= ** 2、去源代码中查找sign字符串 ** 找到了有关sign的js代码 var ppp='223.72.62.234'; var sign = B
CTFWeb题目的常见题型及解题姿势,零基础入门到精通,收藏这篇就够了
最新发布
Libra1313的博客
10-05 2198
考察基本的查看网页源代码、HTTP请求、修改页面元素等。这些题很简单,比较难的比赛应该不会单独出,就算有应该也是Web的签到题。实际做题的时候基本都是和其他更复杂的知识结合起来出现。按F12就都看到了,flag一般都在注释里,有时候注释里也会有一条hint或者是对解题有用的信息。可以用hackbar,有的也可以写脚本。Bugku web基础$_GET: http://123.206.87.240:8002/get/
ctf web 的一些writeup jwt以及黑客游戏
qq_42520737的博客
08-09 3854
http://54.223.83.192:8877/ jwt 登陆问题 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。       这道题的解题方式就是对其进行登陆抓...
ctfshow信息收集Web18(玩游戏)
m0_62584974的博客
04-07 3796
不要着急,休息,休息一会儿,玩101分给你flag 点进去是一个游戏 查看游戏的js代码 查看js代码 查看通过游戏后会展示的内容是一个Unicode编码的 查看 110.php 得到Flag
CTF-Web-JS-俄罗斯方块
The Road Of Sec
04-13 2028
Web-JS-俄罗斯方块 标题JS,进去是俄罗斯方块 查看源代码,发现js代码。 在线优化格式,发现如下关键代码 1000000分时,在cookie写入(“urlkey”,“webqwer”[1]+“100.js”,864E5),e100.js是提示文件 浏览器加上xxxx/xxxx/xxxx/e.100.js jsfuck解密即可得Flag ...
CTF——web安全(五)
qq_45215609的博客
04-24 773
CTF——web安全(五) bugku 1、题目一:game1
原创贪吃蛇Web
08-07
这个原创版本不仅保留了原版贪吃蛇的基本玩法,还引入了一些创新特性,如蛇可以穿越自己的身体,玩家在游戏过程中可以使用暂停键进行休息,提高了游戏的可玩性和趣味性。此外,简洁的黑色背景与醒目的白色小蛇设计,...
115-聊聊CTF比赛1
08-03
CTF的套路太多,导致有可能一个实战很厉害的人去玩CTF未必会得心应手,甚至会不知道从何下手,CTF是竞赛,他会有各种玩法或者说套路,但是实战的话完全靠的就是经
CTF实验吧-WEB专题-4
qq_43679771的博客
11-14 285
CTF实验吧-WEB专题-4
BugKuCTF WEB 点击一百万次
无限迭代中......
07-09 497
http://123.206.87.240:9001/test/ 题解: 版本一 工具:火狐插件hackbar 关键代码 <script> var clicks=0 $(function() { $("#cookie") .mousedown(function() { $(this).width('350p...
CTF-web修改请求头(XFF)
Sankkl1的博客
08-13 1091
该请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。我们可以通过伪造XFF头来假装本地登录,即在request头中加入。随意输入后可以看到需要本地管理员登录,得知这是一道需要修改XFF头的题。
ctf--WEB
wangxinru1的博客
04-29 873
1,web2打开这题是一个动图,右击鼠标查看元素就能得到flag2,计算器打开这道题,我们发现只能输入一个数,查看元素发现长度为一我们把1改为答案的长度就可以了这道题还有另一个更简单的做法,查看源代码看到&lt;script&gt;标签打开看看,直接就能找到flag3,矛盾打开题目,这是一个get传值,函数is_numeric代表检测变量是否为数字或数字字符串如果是返回true否则返回false,...
GDOUCTF比赛WEB&CRYPTO方向全解!!
jayq1的博客
05-09 2776
本次wp的制作过程耗时比较长,也有一些代码源于大佬师傅们的exp,进行了一定的详细解释,有助于刚开始学习的师傅们可以看的懂,整体是比较细节的,会一步一步带大家去解题,一步步说明为什么要这样解题,题目考查了哪些知识点,希望对大家有所帮助!如有不当之处敬请批评指正!
青少年CTF-WEB-2048
m0_73734159的博客
11-19 1619
String.fromCharCode将Unicode 编码转换成字符串形式。一、有参数改参数的数值达到题目规定的分数即可拿到flag。这道题并没有说题目通关即可获得flag,也并没有发现参数。二、没有参数那么flag就是被编码了,找编码即可。所以这里猜测flag被编码了,就在源代码里面。alert是JavaScript的弹窗方法。针对这种游戏通关类题目,常见的有两种情况。使用script标签将其作为JS代码执行。查看2048.js文件内容。
CTF-WEB篇 攻防世界题目实战解析
2301_76565920的博客
04-17 225
题目:view_source
Web安全-CTF中的常见命令总结_webctf 修改css(1),90%的人看完都说好
qq194582923的博客
04-15 1085
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
ctfweb基础知识框架
05-11
CTFWeb 是什么? CTFWeb 指的是 Capture The Flag(獲得旗幟)的網絡安全比賽。它通常是一种在线竞赛,旨在检测和提高参赛者的网络安全技能。 在 CTFWeb 比赛中,选手需要完成一系列的安全挑战,例如破解密码、漏洞利用、逆向工程、加密解密等。每完成一个挑战,就可以获得一个 "flag"(旗帜),这个 flag 就相当于证明你完成了这个挑战。比赛的最终目标是收集尽可能多的 flag,以获得比赛的冠军。 CTFWeb 对于网络安全从业者和学生来说是一个很好的实践和提高的机会,因为它可以帮助他们提高安全技能、练习手段、了解最新的安全技术和漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值