攻防世界——backup(NO.GFSJ0477)

已于 2024-09-09 16:49:52 修改
阅读量780 收藏 4
点赞数 12
分类专栏: 菜鸟CTF成长之路 文章标签: 网络安全 web安全 安全
于 2024-09-09 16:47:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhsjjsj/article/details/142062983
版权

目录

基础环境

靶机:xctf
方向:Web
难度:1

解题过程

打开题目,很明显的提示,index.php的备份文件名
下面这些是常见的备份名
在这里插入图片描述

.git
.svn
.swp
.~
.bak
.bash_history
.bkf

那么就很明了了,只需要在url中加上/index.php.*(*是占位的)一个个尝试即可

在输入到bak的时候,弹出下载了一个东西,用记事本打开看看
在这里插入图片描述
在这里插入图片描述

Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}
睿智阿伟
关注
  • 12
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界——robots(NO.GFSJ0476)
hhsjjsj的博客
09-06 840
robot协议:全称为“网络爬虫排除标准”(Robots Exclusion Protocol),是互联网上用于指导搜索引擎蜘蛛如何抓取和访问网站的一种协议。网站可以通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,从而保护敏感信息和数据,确保用户隐私不被侵犯。打开题目,发现一片空白,结合题目,可以知道这里是关于robot协议,那么我们只需要访问该网站目录下的robots.txt文件即可。此时页面回显的内容有一个很显眼,它已经提示去访问这个文件,那么我们访问即可。
攻防世界——cookie(NO.GFSJ0478)
hhsjjsj的博客
09-09 679
打开题目,结合题目和页面内容,很明显是让你看cookie,这里我们直接用代码,当然用F12查看也行。此时,它又提示去看response,那么我们用BP抓包,来查看。可以看到cookie内容是个很明显的提示。那么我们直接在url中输入即可。可以看到,这里有了flag内容。
攻防世界(Misc-NO.GFSJ1113-Simple-Math)
猛火烹小鲜
11-28 743
import galois # 伽罗瓦域。
攻防世界——get_post(NO.GFSJ0475)
hhsjjsj的博客
09-10 827
随后页面又来了提示,这里又要我们用POST的方式提交一个b=2,那么我们可以利用BP抓包,从而用POST的方式提交。首先先改变请求模式,鼠标右击,选择Change request method。接下来再在左上角POST字段后面的/加入?a=1,从而用GET方式提交a。可以看到页面提示的很明显,那么我们就直接提交一个/?这里是我们抓到包的内容,这时候我们就可以开始操作了。再将下面的a=1,改为b=2,这里用POST提交b。这下就得到了我们想要的flag。
攻防世界——view_source(NO.GFSJ0474)
hhsjjsj的博客
09-06 663
结合题目可以知道,这是通关看页面源代码来获取flag,但是这个页面不能使用鼠标右击来查看源代码,这里我们用f12来查看。打开靶机,我们可以看到如下页面。可以看到,flag在这里。
攻防世界——disabled_button(NO.GFSJ0479)
hhsjjsj的博客
09-10 665
我们先试试前端,按F12,可以看到,按钮相关的前端代码被赋予了disabled标签,那我们只需要在前端把disabled删除即可。打开题目,结合题目描述,我们可以明显的看出来,这个题目需要我们把这个按钮按出来就行。可以看到,删除后按了按钮,可以弹出flag。
攻防世界——weak_auth(NO.GFSJ0482)
hhsjjsj的博客
09-11 196
接下来进入poloads,在payloads模块加入你自己的字典,,这里我是随便输入了一些,因为我已经做过了,知道密码是123456,所以这里只是演示一下。等待程序运行完成后,通过长度来对比出不同的项目,可以看出来123456的length值跟其他的不一样,因此我们可以试一试密码是否为123456。我们先随便输入一些内容,可以看见页面的弹窗,提示我们用admin登录,那我们知道账号了,接下来就可以直接爆破密码了。结合题目内容,可以判断出来这是弱口令类型的,那么我们只需要暴力破解就行。
攻防世界——simple_php(NO.GFSJ0485)
最新发布
hhsjjsj的博客
09-11 187
接下来是b的绕过,这里又要提及一个php的语言特性,有字母和数字的字符串与数字比较的时候,会将该字符串的数字部分转化为数字来比较,例如字符串’2500dasd’和数字300比较,会显示字符串大。首先是a的绕过,这里要提及一个php的语言特性,两个等于号是宽松比较,当字符串与数字宽松比较时,会将字符串转为数组,纯数字字符串转化为对应数字,而纯字母字符串会转为0,所以这里我们用字符串可以绕过。综上所述,我们现在是要传入a和b,让他们两个的值可以满足题目要求,返回flag1和flag2。
攻防世界(Crypto-NO.GFSJ1112-二元一次方程组)
猛火烹小鲜
11-30 649
题目:二元一次方程组 (NO.GFSJ1112)题解:Python代码。
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界(练习区)——Misc 解题思路(一到三题)
Ryanax的博客
03-20 672
攻防世界(练习区)——Misc
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 7638
攻防世界 -- very_easy_sql
攻防世界 MISC
qq_42201260的博客
10-04 677
功夫再高也怕菜刀 下载完附件,发现是简单的流量分析。。 发现里面有个几个文件,去kali下用foremost把它分离下。。 里面的压缩把进去是要密码的,找到上传的数据包,把jpg文件格式开头(FFD8)和结尾(FFD9)的图片数据copy出来,导入到010ed中,另存为jpg格式就出现压缩包的密码了。 ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8455
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-10 1112
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 337
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 927
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
goldfish8848的博客
09-07 718
SUID、SGID 和 Sticky Bit 都在Linux提权中扮演了重要⻆⾊。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1331
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

睿智阿伟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值