CTF-Bugku-Web$_GET && $_POST基础

最新推荐文章于 2023-06-04 15:12:08 发布
最新推荐文章于 2023-06-04 15:12:08 发布
阅读量991 收藏 1
点赞数
分类专栏: CTF_writeup 文章标签: bugku writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzykn06/article/details/88745789
版权

第一次在Bugku有点抓狂,挺多方法不会使用,导致做题很慢,哪怕是简单的题目都挺解,以后要多熟悉这些方法。首先先讲讲一些简单的签到题,十分的基础的题目。

web 2

http://123.206.87.240:8002/web2/
这是一道有趣的签到题,答案只要在源码中就能找到,但是如果没想到找源码的话就有点麻烦,因为它是一个动态图,越看越晕。
按F12查看源码
在这里插入图片描述
就能找到flag啦~

计算器

http://123.206.87.240:8002/yanzhengma/
这道题有点意思,我们如果没接触到解法的话,或许真的有点难知道,因为它是将要填的地方限定在一个字符,但是答案都是两个字符以上的,有点难受啊当初,想到了就是按F12将空格改为需要大小的字符就好啦
在这里插入图片描述
将最大长度改为2就能输入两个字符,然后输入答案就能得到我们的flag啦
在这里插入图片描述

web基础$_GET

http://123.206.87.240:8002/get/
这题考察php的get变量,$_GET获取参数其实很简单,在浏览器中进行url改一下就好了,打开网址,我们获得以下信息:
在这里插入图片描述
如果能看懂php代码就很好做了,这是通过 $_GET来获取参数,输出 $what,如果说 $what=flag,就能输出flag,这就很简单了,只需要在url上增加?what=flag就能出答案了,就是将what值为flag传入:
在这里插入图片描述
这样我们就获取到该题的flag

web基础$_POST

http://123.206.87.240:8002/post/
这题很有意思啊,跟上题很像,就是请求方式不同,如果小白接触这题,做完上面这道题,很容易的就是将?what=flag直接在url上改了,其实post请求方式不是这样,post是将参数在数据包内进行传递。在看了一些writeup后有三种方法:

  • 火狐浏览器的hackbar插件
  • bp抓包,然后添加参数发送
  • python爆破
    在这边我使用了bp的方式
    在这里插入图片描述
    右键将截取到的包扔到Repeater,
    在这里插入图片描述
    此时你可以看到,这边变红了,那就是包扔过去了
    在这里插入图片描述
    go一下你就可以看到旁边的回复报文,并且我们看到请求方式并不是POST,而是GET,这时候我们就需要将GET换为POST,右键更换请求方式:
    在这里插入图片描述
    在这里插入图片描述
    这样我们就更换了请求方式,,接下来就是将我们的参数进行传送,直接在报文底下写入参数:
    在这里插入图片描述
    这边写入参数记得几个点,空一行写参数,语句结束不需要分号,写完参数直接go一下,就能得到flag了:
    在这里插入图片描述
    这四道应该我是bugku里面web方面最简单的题目,但是我作为小白确实花了点时间去做,哈哈,以后得加油了!
fzykn06
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下
网安小趴菜
09-02 637
Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下 writeup
CTF -bugku-web-web基础$_GET和$_POST
aon8069924165211的博客
08-09 484
---恢复内容开始--- GET那题 就算没有学过php也会看懂if条件语句 于是我们在url后面直接加 ?what = flag 这样echo输出flag POST那题 直接火狐 要装hackbar插件 这个我攻防世界web新手区写了 ---恢复内容结束--- 转载于:https://www.cnblogs.com/cat47...
各种绕过ctf--同时提交get和post请求,sha1数组绕过
qq_32642035的博客
03-09 2221
拿到题目,源码审计 题目要求 1、get提交id=margin 2、get提交uname并且post提交passwd 3、uname的值不等于passwd,但是他们的sha1值相等 所以构造payload
[青少年CTF]POST&GET解题记录
qq_64868579的博客
06-04 866
青少年CTF训练平台:www.qsnctf.com博主用户名:Fourstar.题目介绍:题目描述:POST和GET是好兄弟,你能否通过这一关让POST和GET两个好兄弟见面呢?
BugkuCTF-Web-web基础$_POST
烟雨天青色
12-09 2713
我们打开解题链接,看到这4行源码,咦~是不是很熟悉的,这根刚才那道题很像,只不过这道题是POST。 这四行的代码,意思跟之前那道题的意思没啥区别,这题是说:通过post传入一个参数what,如果what的值等于flag,即打印出flag。 那既然题意理解了,那就解决吧 使用Firefox浏览器的HackBar,传入参数what=flag打印flag. 运行一下,网页爆出了flag。...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf-field-guide.zip_ctf_pdf
09-23
ctf介绍及相关培训介绍 学习ctf的注意事项
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTF(Capture The Flag)比赛中,参赛者通常需要解决各种安全挑战,包括Web漏洞利用、密码学、逆向工程等。这里的"菜狗杯"可能是指比赛的昵称或名称,暗示这是一个初级到中级难度的竞赛,适合新手和进阶者参与。 ...
Seccon-CTF-2016-cheer_msg
02-24
样本来自2016年的Seccon ctf的一道pwn题,该题目使用了alloca内存分配函数,该函数不同于一般堆上的内存分配,而是在栈上进行。题解:https://blog.csdn.net/A951860555/article/details/114011564
bugku-post
qq_33598708的博客
05-07 1241
正常访问: http://114.67.175.224:10905 代码提示用post接收what参数值,如果what="flag" 就会输出flag{***} 用brup抓包 改GET提交方式为POST,添加what参数 发现页面没有变化,猜测是POST报文的问题 并发现brup可以更改提交方式 :空白处右键 这里提供两个请求报文 GET报文 GET /?what=flag HTTP/1.1 Host: 114.67.175.224:10905 Cache-Co...
CTF-入门八
realstarstarli的博客
06-15 776
CTF-入门八 这篇博客是这周关于CTF的学习,其实题没有做多少但是我觉得,内容已经够发一篇博客了。主要的内容有 (一)sqli-lab靶场的搭建 (二)基于bugku web 成绩单的sql注入入门 (三)输入密码查看flag的wp 点击一百万次的wp 听说备份是个好习惯的wp (一)sqli-lab靶场的搭建 sqli-lab搭建 这是一个sql注入的练习平台,有很多的关卡等你挑战,哈哈 git clone https://github.com/Audi-1/sqli-labs.git 这是sqli
[CTF萌新的Bugku web闯关之路] web基础$_GET 过关!
HippoLaoBan的博客
05-02 298
web基础$_GET Bugku链接 看标题就可以知道这一关考察的是GET请求 到地方后可以看见,页面的源代码已经显示在屏幕上了 简单翻译这串代码 $_GET[‘what’] 获取get请求中what的值 将这个值赋给 $what 在网页上打印 $what的值 如果 $what的值是flag 在网页上打印我们需要的flag 所以我们要做的就是发送一个what=flag的get请求 在地址栏最...
详解 CTF Web 中的快速反弹 POST 请求
小水池
08-11 8376
目录 0x00 前言 0x01 Python Requests 安装并导入 requests 模块 发送 GET 请求与 POST 请求 查看请求头 查看响应头 查看响应内容 传递 GET 请求参数 传递 POST 请求参数 传递 Cookie 参数 会话对象 Session() 0x02 writeups 【实验吧 CTFWeb —— 天下武功唯快不破 【Bugk...
20220129--CTF刷题-- WEB方向--get_post--- GET方法和POST方法结合的简单题
qq_51550750的博客
01-29 279
攻防世界-- WEB方向–新手场–第七题–get_post 攻防世界的网址:https://adworld.xctf.org.cn/ 更多CTF刷题网站可以参考博客:(刷题网站和自己可以搭建的网站汇总) https://blog.csdn.net/qq_51550750/article/details/122748075 ?a=1 POST DATA打勾: 最后得到flag:cyberpeace{52a0a30288f0b6af8b5e0f0d8bb5923b} ...
i春秋 “百度杯”CTF比赛 九月场 123
include_heqile的博客
09-15 1287
https://www.ichunqiu.com/battalion?t=1&r=0 首先查看源代码,得到提示说用户信息在user.php中,但是我们访问user.php是得不到任何信息的,得不到任何线索,看writeup得到提示,关键词文件读取漏洞、备份文件 于是我就试着访问了user.php.bak,得到了用户名信息,然后根据login.php注释部分的提示,用户密码为用户名+出生...
ctf中的web的PHP问题,Ctfshow Web入门 - PHP特性(89-102)
weixin_28909295的博客
04-01 1048
Web89include("flag.php");highlight_file(__FILE__);if(isset($_GET[‘num‘])){$num = $_GET[‘num‘];if(preg_match("/[0-9]/", $num)){die("no no no!");}if(intval($num)){echo $flag;}}num数组绕过?num[]=0Web90includ...
CTF Web burpsuite之暴力破解
weixin_43982276的博客
10-07 642
CTF Web burpsuite之暴力破解 burpsuite是一个应用很广的黑客工具 功能也还不错 适合初学者 首先要设置代理 找到proxy里面的option属性 查看默认端口 一般为127.0.0.1:8080 设置浏览器端口与burpsuite一致 找到一个用户名密码在截获之后都为明码的网站(安全属性较低) 随意输入用户名和密码 具体如下 ...
BugKuCTF WEB web基础$_GET
无限迭代中......
07-07 507
http://123.206.87.240:8002/get/ 题解: $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; URL http://123.206.87.240:8002/get/?what=flag
<?php highlight_file(FILE); include 'flag2.php'; if (isset($_GET['name']) && isset($_POST['password'])){ $name = $_GET['name']; $password = $_POST['password']; if ($name != $password && md5($name) == md5($password)){ echo $flag; } else { echo "wrong!"; } } else { echo 'wrong!'; } ?> 这个ctf怎么解
最新发布
06-07
这段代码看起来像是一个简单的登录验证,其中flag2.php文件中存储了flag的值,但是我们无法直接访问它。当我们访问这个脚本时,它会检查我们传递的GET和POST参数。 GET参数"name"和POST参数"password"都必须存在。如果这两个参数存在,代码会比较它们的值,如果它们不同但是它们的md5哈希值相同,那么就会输出flag的值。 因此,我们需要寻找一个字符串,它的md5哈希值与它本身不同,但却与flag2.php中的flag的md5哈希值相同。我们可以使用暴力破解或者哈希碰撞的方法来解决这个问题。 你可以使用hashcat等工具来进行哈希碰撞。或者使用在线网站 https://www.md5online.org/md5-encrypt.html 等进行尝试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值