攻防世界——cookie(NO.GFSJ0478)

最新推荐文章于 2024-09-10 15:41:55 发布
最新推荐文章于 2024-09-10 15:41:55 发布
阅读量706 收藏 5
点赞数 9
分类专栏: 菜鸟CTF成长之路 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhsjjsj/article/details/142063373
版权

目录

基础环境

靶机:xctf
方向:Web
难度:1

解题过程

打开题目,结合题目和页面内容,很明显是让你看cookie,这里我们直接用代码,当然用F12查看也行
在这里插入图片描述

document.cookie

可以看到cookie内容是个很明显的提示
在这里插入图片描述
那么我们直接在url中输入即可
在这里插入图片描述
此时,它又提示去看response,那么我们用BP抓包,来查看

在这里插入图片描述
可以看到,这里有了flag内容

cyberpeace{83ad6ba7bb63ad4f1147ab47ecaf0ab0}
睿智阿伟
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界——robots(NO.GFSJ0476)
hhsjjsj的博客
09-06 840
robot协议:全称为“网络爬虫排除标准”(Robots Exclusion Protocol),是互联网上用于指导搜索引擎蜘蛛如何抓取和访问网站的一种协议。网站可以通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,从而保护敏感信息和数据,确保用户隐私不被侵犯。打开题目,发现一片空白,结合题目,可以知道这里是关于robot协议,那么我们只需要访问该网站目录下的robots.txt文件即可。此时页面回显的内容有一个很显眼,它已经提示去访问这个文件,那么我们访问即可。
攻防世界——backup(NO.GFSJ0477)
hhsjjsj的博客
09-09 781
那么就很明了了,只需要在url中加上/index.php.*(*是占位的)一个个尝试即可。在输入到bak的时候,弹出下载了一个东西,用记事本打开看看。打开题目,很明显的提示,index.php的备份文件名。下面这些是常见的备份名。
攻防世界(Misc-NO.GFSJ1113-Simple-Math)
猛火烹小鲜
11-28 743
import galois # 伽罗瓦域。
攻防世界——get_post(NO.GFSJ0475)
最新发布
hhsjjsj的博客
09-10 830
随后页面又来了提示,这里又要我们用POST的方式提交一个b=2,那么我们可以利用BP抓包,从而用POST的方式提交。首先先改变请求模式,鼠标右击,选择Change request method。接下来再在左上角POST字段后面的/加入?a=1,从而用GET方式提交a。可以看到页面提示的很明显,那么我们就直接提交一个/?这里是我们抓到包的内容,这时候我们就可以开始操作了。再将下面的a=1,改为b=2,这里用POST提交b。这下就得到了我们想要的flag。
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界(练习区)——Misc 解题思路(一到三题)
Ryanax的博客
03-20 672
攻防世界(练习区)——Misc
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 7638
攻防世界 -- very_easy_sql
攻防世界 MISC
qq_42201260的博客
10-04 677
功夫再高也怕菜刀 下载完附件,发现是简单的流量分析。。 发现里面有个几个文件,去kali下用foremost把它分离下。。 里面的压缩把进去是要密码的,找到上传的数据包,把jpg文件格式开头(FFD8)和结尾(FFD9)的图片数据copy出来,导入到010ed中,另存为jpg格式就出现压缩包的密码了。 ...
【XCTF】GFSJ0010:适合作为桌面
0leg的博客
07-28 1974
这看起来虽然是一道简单的图片隐写题,但后续涉及到python的编译与反编译,需要一定编程基础。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8455
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-10 1119
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 349
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
goldfish8848的博客
09-07 719
SUID、SGID 和 Sticky Bit 都在Linux提权中扮演了重要⻆⾊。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 929
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1337
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1745
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全(黑客技术)—2024自学手册
小司机的奥拓
09-10 2374
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-04 1620
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全 day5 --- 反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载
2302_81156108的博客
09-07 1713
学习网络安全的一些心得希望对大家起到一些帮助
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

睿智阿伟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值