ctf-web学习2

最新推荐文章于 2024-07-30 21:02:40 发布
最新推荐文章于 2024-07-30 21:02:40 发布
阅读量189 收藏
点赞数
分类专栏: ctf 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gofreshman/article/details/110411704
版权

后端php漏洞题目

如图所示
在这里插入图片描述
根据题目提示可知,此题主要时web后端php的问题,打开链接,如下图所示
在这里插入图片描述
这里网页显示为索引页,且网页后缀与网页内容相对应’file=index’
审查此网页,如下图
在这里插入图片描述
可以看到,很可疑的接替方向点出现了,这里是javascript写的条件判断语句,在filepath不能出现.和…,很奇怪。貌似没其他发现了,那再看看另一个网页
在这里插入图片描述
也就是说,需要想办法不用上述两种方式绕到上一级目录获得flag

新鲜的菜鸟本菜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二、CTF-Web-SQL注入(记录CTF学习
qq_27920699的博客
12-16 408
个人CTF学习之路
CTF-WEB入门学习笔记
m0_62945162的博客
06-13 612
CTF-WEB学习笔记分享
2024年最全ctfshow-WEB-web2_ctf,一口气拿了9家公司的offer
2401_84281720的博客
05-11 905
Python编程学习学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
CTF----Web真零基础入门
热门推荐
B_cecretary的博客
01-17 2万+
前置知识: TCP/IP体系结构(IP和端口): IP是什么:是计算机在互联网上的唯一标识(坐标,代号),用于在互联网中寻找计算机。 访问网站时:域名会通过DNS(解析服务)解析成IP。 所以,互通的前提条件就是双方都能找到对方的IP地址。 内网(局域网)IP和公网(互联网)IP: 内网IP:路由以内的网络,可以连接互联网,但是互联网无法直接连接内网(需要端口映射) 如何判断自己的电脑是内网还是公网: --在本地电脑命令行输入jipconfig,ifconfig(Linux,macos)查看
ctf-WEB学习1
gofreshman的博客
11-30 192
签到刷卡题
青少年CTF-WEB-Queen
m0_63047884的博客
11-22 1176
先抓包这个页面,然后再头部信息里面添加X-Forwarded-For:127.0.0.1。再次发送发现有回显页面,data后面是一串base64加密的值,先解密看一下。解密之后发现是将用户名和密码加密了,想到有可能是sql注入。提交完显示不是管理员的ip,这里想到用xff绕过。然后直接爆它的sql数据库就可以看到flag了。右键将login.php页面复制到文件。用sqlmap -l 跑就可以了。用户名密码随便输入,点击提交。打开环境,是一个网页登录界面。
CTF-WEB个人学习日志
crizemire的博客
05-10 100
参考的是这位的学习路线。
ctf-web入门详解思路
boomgloom的博客
04-29 606
拿到题目第一步就是看一下题目标题和背景以及有没有hint,确定自己的做题方向 打开靶机。看页面有没有提示,如果是网站就多点一点看看url有没有变化 放到火狐浏览器打开(因为火狐的f12可以修改代码也可以用hackbar) 观察源代码有没有flag(不可能),再看注释里面有没有提示词语 修改url比如尝试flag.txt或者index.php(s)或者flag.php(/py/pyc……)观察有没有反应 如果是提交密码用户名可以尝试万能密码或者寻找注入点,多次尝试,观察返回值 如果是php代码就可
ctf-web-unseping解题思路
m0_73734159的博客
05-13 918
这道题解题的关键就在于PHP序列化。
web服务器运维笔记,【服务器运维】docker部署CTF-web环境的学习笔记
weixin_42302026的博客
08-02 754
作者:G4br1elQQ:2063367671一、一键安装docker环境安装docker:curl-shttps://get.docker.com/|sh安装pip:curl-shttps://bootstrap.pypa.io/get-pip.py|python安装docker-compose:pipinstalldocker-compose二、docker部署CTF-we...
CTF-web学习大纲
01-30
CTF-web学习大纲
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
在"CTF-AWD-WEB"中,重点在于Web安全领域,涵盖了各种Web应用漏洞和防护技巧。 本资源"CTF-AWD-WEB"是一个包含了多个AWD模式下Web试题的仓库,这些试题可能来源于不同的CTF线下赛事。通过这些试题,学习者可以深入...
CTF-WEB入门DOC-2019版1
08-03
总之,CTF-WEB入门DOC-2019版1提供了一个系统性的学习路线图,涵盖Web安全的基础知识、实践平台、学习资源以及进阶技能,为有志于网络安全特别是Web安全领域的学习者提供了宝贵的指导。通过不断学习和实践,你可以...
ctf-wscan-master.zip
12-08
2. **进入目录**:使用`cd`命令进入解压后的目录,如:`cd ctf-wscan-master`。 3. **检查内容**:运行`ls`命令查看目录中的文件和子目录,确认所需的工具是否都在。 4. **安装依赖**:许多CTF工具需要特定的库或...
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 878
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
53、PHP 实现归并排序
weixin_44010641的博客
07-30 362
【代码】53、PHP 实现归并排序。
WordPress原创插件:搜索引擎抓取首图seo图片
爱酷码的博客
07-29 539
WordPress原创插件:搜索引擎抓取首图seo图片。
ctf比赛web方向学习路线
04-30
学习CTF比赛Web方向的路线一般如下: 1. 学习Web基础知识,包括HTTP协议、HTML、CSS、JavaScript、SQL等; 2. 掌握常见的Web漏洞,如SQL注入、XSS、CSRF等,了解其原理和防御方法; 3. 学习常见的Web框架,如Django...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值