西普部分CTF题目(web)(持续更新)

最新推荐文章于 2024-10-05 09:00:00 发布
最新推荐文章于 2024-10-05 09:00:00 发布
阅读量9.2k 收藏 1
点赞数
分类专栏: CTF学习 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gwenchill/article/details/47708223
版权
本文详细介绍了在西普CTF中遇到的一道web题目,涉及SQL注入漏洞利用。通过分析提示和过滤关键字,最终利用特殊字符绕过过滤,成功获取表名和字段,并揭示了如何通过SQL注入找到关键信息'flag'。尽管存在大量关键字过滤,但通过不断尝试和使用sqlmap,最终解决了这个高难度挑战。
摘要由CSDN通过智能技术生成

1、菊花
题目地址:http://www.simplexue.com/ctf/examctfdetail/729
点击“我是吊死”进入sim.php页面,post参数为id=,提示需要net framework 9.9
用burp拦截,修改user-agent为Mozilla/5.0 (MSIE 9.0;.NET CLR 9.9),下面的注入均在这个条件下进行
id=1 提示hacker:welcome to simplexue CTF
id=4提示hacker: don’t try again
这里可能存在sql注入
使用id=[keyword]1来测试发现多个关键词被过滤
包括union,and,or,select,update,insert,from,引号,空格;另外admin、pass等名称也被过滤。测试发现双重可绕过过滤,如ununionion,seselectlect, 用/**/或%09代替空格。
测试union3个字段,如注入id=0/**/ununionion/**/seselectlect/**/1,user(),database()可同时得到
用户名和数据库名称分别为root@cuit-092a2b258a和inject
进一步测试无法从information_schema.tables读取数据,不清楚是否是设置了权限还是过滤了字符。
此后一直无进展,使用sqlmap,用versionedmorekeywords.py和nonrecursivereplacement.py等tamper仍无法得到有效结果,反复测试猜出表名message,dump数

最低0.47元/天 解锁文章
gwenchill
关注
专栏目录
西普CTF部分题目(解密)
技术学习人生
08-29 1万+
1、simple algorithm 题目地址:http://www.simplexue.com/ctf/examctfdetail/737 题目给了一个py脚本和一个密文文件,py脚本将明文转换为密文,现在需要将密文文件中的密文解密得到明文。 加密算法为flag = '[censored]' hflag = flag.encode('hex') iflag = int(hflag[2:],
西普部分CTF题目(逆向)
技术学习人生
07-12 1万+
1、阿拉丁神灯http://ctf1.simplexue.com/crack/1/ 这个比较简单,用ida加载后,函数列表里有Button1_click,点击进去后发现 这里有个比较函数,应该是输入的字符串和zhimakaimen@2011进行比较,在页面输入该密码,即可获得key 小明向灯神许愿道~ 灯神啊~ 给我过关的Key吧~ 灯神说道\KEY:UnPack&Crack2011!!2
CTFWeb题目的各种基础的思路-----入门篇十分的详细
m0_64815693的博客
09-13 3万+
想学习CTF-web这里给你一个思路,给你一个方向
CTFWeb题目的常见题型及解题姿势,零基础入门到精通,收藏这篇就够了
最新发布
Libra1313的博客
10-05 2574
考察基本的查看网页源代码、HTTP请求、修改页面元素等。这些题很简单,比较难的比赛应该不会单独出,就算有应该也是Web的签到题。实际做题的时候基本都是和其他更复杂的知识结合起来出现。按F12就都看到了,flag一般都在注释里,有时候注释里也会有一条hint或者是对解题有用的信息。可以用hackbar,有的也可以写脚本。Bugku web基础$_GET: http://123.206.87.240:8002/get/
CTF入门指南(0基础)
weixin_33874713的博客
04-11 3103
ctf入门指南     如何入门?如何组队?     capture the flag 夺旗比赛     类型:   Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据 reverse 逆向windows、linux类 ppc 编程类的     国内外著名...
CTF 题目练习题库
热门推荐
syh_486_007的专栏
06-01 3万+
入门----从基础题目出发(推荐资源): http://ctf.idf.cn !!!首推 idf实验室:题目非常基础,只1个点 www.ichunqiu.com 有线下决赛题目复现 http://oj.xctf.org.cn/xctf 题库网站,历年题,练习场,比较难 www.wechall.net/challs !!!!!!非常入门的国外ctf题库,很多国内都是从这里刷题成长起来的
CTF练习题
weixin_62707591的博客
05-08 1342
Rabbit 序列密码是一种基于混沌理论的加密算法,它利用了混沌系统的随机性和不可预测性来保护数据的安全性。Rabbit 序列密码的安全性主要来自于混沌系统的随机性和不可预测性,使得攻击者无法通过破解算法或暴力破解的方式来获取密钥和明文。签名即标志着该文件是由支持 rar4.x 版本的软件压缩而成,如果使用支持 5.0 版本的压缩软件压缩,其签名可能会不同。要枚举的DBMS数据库表列(s)
ctf练习题
moon__________的博客
10-09 3817
攻防世界WEB-Challenge area -Web php include WEB-Challenge area -Web php include 代码审计可以轻松知道本题考查文件包含并且过滤的php:// 所以我们用data://伪协议来传输数据,成功执行phpinfo() http://111.200.241.244:59922/index.php?page=data://text/plain,<?php phpinfo();?> 接下来我们利用大小写测试服务器操作系统(其实上图已
CTF竞赛题目
zhs661的博客
06-30 783
这个页面包含一个简单的登录表单,要求输入用户名和密码。你的任务是找到一种方法绕过登录机制获取flag。,该程序运行时接受一段字符串作为输入,如果字符串正确,则输出flag。,内容是一串密文,使用未知的对称加密算法加密。给定一个加密的flag文件。给定一个编译好的程序。
CTF例题:
qq_63489512的博客
05-21 1767
第一次参加类似于ctf的比赛赛前准备,以及赛后对题目的总结
CTF练题(1)
beyondlight6的博客
10-17 1192
(3)刷题时注意提交flag的格式,不同的网站其题目flag的提交形式可能不同,需要额外注意,有些题目的全字母flag需要注意大小写(题目事先未说明大小写时,需要留个心眼,检验一下获得的flag是否正确)。由图可获得密钥为:“sterisma”,爆破手段目前未知,在后续的学习中会逐步掌握,并尝试使用python写出爆破脚本并进行运用。(1)由题可知,本题的密文为维吉尼亚密码,同时题目提示密钥长度为8,提及维吉尼亚密码原理。CTF萌新,尝试叙述解决题目的操作和思路,以加深对这些类型题目的印象和熟练程度。
CTF-入门练习题
10-30
题目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
ctf大赛题目 格式为图片格式
08-03
ctf比赛的部分题目 格式为图片格式 英语 可以上手做联系用................................................................................
西普WEB部分题解
12-09
西普WEB部分题解,需要在西普刷题的CTF小伙伴赶紧下载吧
中国民航大学第四届“西普杯信息安全竞赛-题目源程序和Writeup.zip
10-23
中国民航大学第四届“西普杯信息安全竞赛-题目源程序和Writeup.zip
CTF题目合集
cgygsw的博客
01-26 3690
在给定的代码中,call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method(也就是调用ping函数的方法 也就是destruct下面那个ping函数),并将 $this->args 数组作为参数传递给该方法。反序列化之后就会调用wakeup这个函数 : 这个函数的内容 是对参数的内容进行了循环遍历 执行WAF函数的内容。
CTF例题合集(1)
weixin_51339377的博客
08-25 7337
判断出来闭合是单引号 接下来构造完整的闭合语句 发现回显正常 说明闭合差不多成功!可以使用and 1=1 和and 1=2进行控制性测试 这里不演示。1.用burp抓包登录进入,任意输入账号(除了admin)和密码即可,注意网页对admin账户最开始做了限制,所以admin是没办法登录进去的。(修改账号提交): nctf.nuptzj.cn/web13/index.php?状态码200表示请求成功 状态码401表示未授权访问 也就是登录失败。说明有3列在这个数据库中 接下来可以开始进行数据库的注入操作。.
11.18 CTF 十道题目(1)
weixin_44554793的博客
11-22 1202
CTF的一些题目 取自buuctf
西普电机软启动器说明书 c型
08-24
西普电机软启动器 C型是一种使用于交流电动机的电气设备。它的主要功能是提供电压和电流的逐渐上升,以实现对电动机的平稳启动和停止控制。C型软启动器具有诸多优点,如节能、减少启动时的机械冲击、降低电动机和传动装置的磨损、提高生产效率等。下面是西普电机软启动器说明书的一些主要内容: 1. 安全操作:说明书详细介绍了软启动器的主要部件机构、连线方式和控制面板的说明,使用户能够安全、正确地操作设备,避免潜在的安全风险。 2. 启动参数设置:软启动器的启动参数设置非常重要,说明书提供了详细的参数设置步骤和范围,使用户能够根据具体的应用要求进行合适的参数配置。 3. 故障诊断和维护:说明书包含了软启动器常见故障的排除方法和维护要点,以及如何正确安装和调试设备。通过遵循说明书提供的维护指南,用户可以延长设备的使用寿命,提高生产效率。 4. 应用范围:说明书介绍了软启动器的适用电机类型、额定容量和工作环境等方面的信息,帮助用户在选择和使用软启动器时能够充分了解产品的应用范围和限制。 总之,西普电机软启动器 C型的说明书提供了用户操作、设置参数、故障诊断和维护等方面的详细指导,帮助用户正确、安全地使用设备,充分发挥软启动器的功能,提高电动机的运行效率和寿命。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值