ctfhub web技能树

最新推荐文章于 2024-03-28 22:00:00 发布
最新推荐文章于 2024-03-28 22:00:00 发布
阅读量561 收藏 3
点赞数 1
分类专栏: web安全 文章标签: ctfhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gh0stf1re/article/details/119995971
版权

ctfhub web技能树

前言

其实很多题之前已经做过了,但是感觉自己没有吃透吧,只是以做题为目的。所以打算重新做一下,加深一下印象,另外,把知识点也整理一下。

Web前置技能

HTTP协议
请求方式

在这里插入图片描述
这时我们采用的http方法是get方法,提示我们采用CTFHUB方法
方法1:利用burp更改请求方式
在这里插入图片描述
方法2:使用curl(curl是http神器)
curl的用法指南——阮一峰
在这里插入图片描述
windows下有一个自带curl的终端神器——cmder,完整版还带有git,非常推荐,具体使用及配置可以参考这几篇 cmder - 就是这个范儿

302跳转

在这里插入图片描述
方法1:当你点击 Give me Flag后,burp的http history里是没有302的那个数据包的。你需要点击时抓包
在这里插入图片描述
在这里插入图片描述
burpsuite 默认不重定向

方法2:利用curl
右键复制Give me Flag的链接,使用curl
在这里插入图片描述
curl默认不重定向,如果想要重定向,需要使用 -L 参数

301和302的知识点可以参见这篇

最低0.47元/天 解锁文章
gh0stf1re
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 ...url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境0x00 前言CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。0x01 搭建环境使用CTFhub中的环境的前提条件需要在本地...
CTFHub | web——xss(存储型)
2301_76435948的博客
09-28 560
提交后无任何变化提交后:将本页url粘贴到第二个框中:得到flag。
CTFHub——XSS
最新发布
2302_79119987的博客
03-28 863
"fangfa('可控点')"> 使用 ” 闭合:与上题解题思路一致,用插入语句后用xss平台找到flag,插入语句后发现无回显(模拟黑客发送xss到服务器),查找源码,发现插入成功。将xss代码输入测试栏,发现url地址有变化,将url地址复制到url地址栏,上传成功后在xss平台查看cookie。尝试注入,查看源码发现过滤空格,url地址不对,使用/**/过滤。
CTFHub xss存储型 wp
qq_73661602的博客
07-20 914
CTFHub xss存储型 wp
[ctfhub]-xss详解
weixin_52116519的博客
04-28 4894
1、明确cookie的作用 当你登录账号密码,服务端就会给你一个cookie,这样你在这个平台上的操作就带上了cookie来验证身份,而不用每一次操作都要你登录账号密码。cookie相当于每个人的登录凭证,如果得到了别人的cookie,特别是管理员的,我们将可以不用输账号密码,直接登录,从而获取管理员权限。 2、XSS的目的 获取别人的cookie。 Web渗透测试之XSS攻击:反射型XSS 获得cookie的方:我们在有XSS漏洞的搜索栏中输入<script>alert(document.c
XSS
Derait的博客
03-13 333
XSS 文章目录XSS简介反射型XSS例题 [ctfhub xss 反射型]存储型XSSDOM型XSS参考链接 简介 跨站脚本漏洞(XSS)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 常见的输出函数有: echo printf print pri
3.18号日报,ctfhubweb,文件上传漏洞题目解
03-18
文件上传漏洞
CtfHub-wp(web
01-23
本文主要探讨了CTF(Capture The Flag)竞赛中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTFHUB技能树WEB)详解
weixin_52385170的博客
01-13 4412
CTFHUB 技能树 WEB 详解
CTFHub技能树 Web进阶详解
weixin_45808483的博客
12-02 2151
PHP Bypass disable_function PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用 有四种绕过 disable_functions 的手: 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open
CTFhubweb练习
weixin_45349299的博客
11-22 865
​ MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。​ 它是一个互联网标准,扩展了电子邮件标准,使其能够支持:​ 非ASCII字符文本;非文本格式附件(二进制、声音、图像等);由多部分(multiple parts)组成的消息体;
CTFHub 技能树web
weixin_63231007的博客
07-19 2435
这道题是想让我们对http的请求方式有一个了解。由这些可知需要用CTFHUB的请求方式请求index.php才能拿到flag这就需要用到我们windows自带的curl命令了。curl用参数-v显示整个通信的过程-X指定HTTP请求方这里就需要用到我们的-X参数了。得到flag。也可以用burp抓包更改左上角的请求方式。......
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 4797
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
CTFCTFHub——web
m0_52923241的博客
09-18 583
SQL 整数型注入 题目提示整数型注入,尝试输入1,有回显,输入-1 order by一直到3,没有回显,说明有两列 做题步骤: -1 union select 1,database()——sqli -1 union select 1,group_concat(schema_name) from information_schema.schemata——information_schema,performance_schema,mysql,sqli -1 union select 1,group_conc
ctfhub技能树web题目全解
san3144393495的博客
10-31 197
这里php://inout可以把post提交的数据当作php代码执行,但是这个要看phpinfp配置文件有没有开启,就打开下面的phpinfo。ftp://192.168.64.144:21 探针对方ftp是否开放,这个是跟设置有关的的,有的直接访问c盘,或者别的,还有要登陆的。Ssrf漏洞就是可以看到内网的信息,需要用到一些伪协议http://192.168.64.144/phpmyadmin/重点是这个代码,strpos,格式是这样的strpoc(1,2,3)file=php://input。
ctfhub 技能树-web-信息泄露
m0_62207170的博客
03-28 813
ctfhub 技能树-web-信息泄露
ctfhub web技能树302跳转
07-28
CTFHubWeb技能树中,302跳转是一种常见的技术。根据引用\[1\],302跳转继承了HTTP 1.0中302的实现,即无论原请求是GET还是POST,都可以自动进行重定向。而根据引用\[2\],在使用curl命令进行下载时,可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值