ctf.bugku - SOURCE

于 2024-10-08 02:28:12 发布
阅读量71 收藏
点赞数 1
分类专栏: ctf.bugku ctf.web 文章标签: git泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guanrongl/article/details/142749607
版权

题目来源: source - Bugku CTF

首先,访问页面,

得到的是假的 flag ,

查看前端页面、代码、response返回; 没有有用信息;

查后端:

git泄露

下载git文件

# wget -r http://114.67.175.224:15623/.git/

进入到 项目目录:/WorkSpace/114.67.175.224:15623/.git/logs

查看提交日志

git reflog   

//查看所有分支的所有操作记录

 git show 逐个逐个搜;

最后得到flag

什么鬼昵称
关注
专栏目录
Bugku-source
qq_51283187的博客
08-11 1938
Bugku-source 第一次用Linux来做题,差点以为要烂题了 看到题目,没有线索.先扫目录,可以用御剑也可以用kali自带的 gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt 然后扫出来发现有git文件 访问一下,发现确实是有很多资源噢 于是乎把它们都下载下来, 这里下载的话不一定要用githack,感觉这个工具现在好难用啊,要python3但是windows环境下我又不会玩,只
BUGKU-CTF入门笔记
Emooooor的博客
12-02 730
CTF、BUGKU、入门、夺旗赛、网络安全、web安全
BUGKU-WEB-冬至红包
qq_49422880的博客
05-31 254
冬至红包   上题目,每次都要读PHP代码,本身就没有学过,碰到不懂的函数得一个一个查,关键是题目还不能确定是不是自己想得那个意思。 <?php error_reporting(0); require __DIR__.'/flag.php'; $exam = 'return\''.sha1(time()).'\';'; if (!isset($_GET['flag'])) { echo '<a href="./?flag='.$exam.'"&
Bugku---web---source
weixin_47450099的博客
05-02 505
Bugku---web---source 网络安全
Bugku-ctf-web-eval
m0_52484587的博客
07-29 425
是 PHP 中一个非常有用的函数,用于输出一个或多个表达式的类型和值。这个文件可能包含一些配置信息或其他代码,但是没有提供这个文件的内容,所以无法确定它的作用。的输出通常是易读的,但不是格式化的 HTML。如果变量是数组或对象,它还会递归地显示其内部结构。主要用于调试,但它实际上也会返回输出的字符串,但通常这个返回值被忽略了。是开发者在开发过程中常用的调试工具之一,尤其是在不确定变量内容时。的参数,无论它是通过GET、POST还是COOKIE发送的。可以接受多个参数,并且会依次输出每个参数的类型和值。
bugku-writeup-Web-source
dark的博客
07-08 412
题目:source 工具:gobuster 01—安装gobuster 安装教程:https://blog.csdn.net/qq_22597955/article/details/118553139?spm=1001.2014.3001.5501 02—使用gobuster查看 Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具。它是使用Go语言编写的命令行工具,具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具,该
第一次尝试CTF_bugku-江湖魔头
热门推荐
qq_25899635的博客
06-22 3万+
.   作为一个野路子出身,有时候真的不是知道怎么学习。听安全圈的朋友说挑战CTF试题是个不错的选择,于是乎就尝试了一下,感觉还是很精彩的,这里分享一个比较有意思的题目。   这里附上链接:http://123.206.31.85:1616/   “进入游戏”后看到了一张个人感觉画风很不错的江湖英雄人物,随手还搜索了一下: 在右侧我看到了我当前游戏人物的属性值列表: 习惯性的view-sour...
bugku - Web
UP's blog
09-03 2382
刚刚入门CTF,如有错误,望大佬指教
Bugku---web---eval
weixin_47450099的博客
04-29 588
Bugku---web---eval 网络安全
CTF-BUGKU-WEB(初级题)答题记录
CSDNJxxxx的博客
07-28 397
BUGKU-WEB 1.秋名山车神 import requests import re s = requests.Session() r = s.get("http://123.206.87.240:8002/qiumingshan/") searchObj = re.search(r'(\d+[+\-*])+(\d+)', r.text) d = { "value": eval(searchObj.group(0)) } r = s.post("http://123.206.87.240:
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 1992
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
BugkuCTF-WEB-本地包含
Jaychouzzk
11-15 542
题目提示,需要将flag.php包含进去才可以得到flag 百度了一下$_REQUEST函数,发现易存在sql漏洞和变量漏洞覆盖 第二句话要获得hello的值,由于hello为’hello’,所以无论在url栏中对hello赋任何值,都会全盘接受,其中var_dump()是将变量a打印到界面中,在根据eval函数的特性(计算后面括号中的表达式) SO——   (1)a变量由$_REQU...
BugkuCTF-WEB-第43题到第52题
Alita_lxz的博客
11-04 1205
BugkuCTF-WEB-第43题到第52题
BUGKU-WEB
wojiushilsy的博客
02-22 532
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
深入剖析Oracle与MySQL在事务处理上的差异
10-06
在数据库管理系统中,事务处理是确保数据一致性和完整性的关键机制。Oracle和MySQL作为两大主流的数据库系统,在事务处理方面有着各自的特点和差异。本文将从事务的基本概念、隔离级别、锁机制以及事务控制语句等方面,详细探讨Oracle与MySQL在事务处理上的差异,并提供代码示例。 Oracle和MySQL在事务处理上有着各自的特点。Oracle提供了强大的并发控制和隔离级别管理,适合处理复杂的企业级事务。MySQL则以其简单性和灵活性,在Web应用和中小型项目中广泛使用。了解这些差异对于开发者选择合适的数据库系统以及优化事务处理至关重要。通过本文的分析和代码示例,读者应该能够更深入地理解Oracle与MySQL在事务处理上的差异,并在实际应用中做出更合适的选择。
电力系统稳态分析-考研必备
10-06
电力系统分析经典教材资料
人工智能在高中信息技术教学中的应用与实践.pdf
最新发布
10-06
毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询 毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询毕业设计选题/开题答辩/项目源码/论文等资源 硕博论文、期刊资源、有需要可详细咨询
基于Springboot和Vue的获奖的知名作家信息管理系统源码 获奖的知名作家信息管理系统代码
10-06
获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统-获奖的知名作家信息管理系统 1、资源说明:获奖的知名作家信息管理系统源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/detail
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值