[CTF]Bugku Web Writeup (1)

最新推荐文章于 2022-11-22 18:09:03 发布
最新推荐文章于 2022-11-22 18:09:03 发布
阅读量186 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jaykiller/article/details/111404558
版权

题目:https://ctf.bugku.com/challenges/index.html

1. web1

直接F12。

2. web2

验证码只能输1位,直接F12,找到下面maxlength改成3,提交。

3. web3

直接在URL后面加上?what=flag即可。

4. web4

这次换成了post。

用Burpsuite,post一个what=flag上去,得flag。

5. web5

构造num=1a即可。

6. web6

直接上burpsuite,拉到response的最后,ascii解码。

7. web7 你必须让他停下

这道题有问题吧?源码的意思是有个JavaScript会让他500毫秒自动刷新一下,然后有一个不可见的flag is here的提示,但是浏览器禁用了JavaScript之后也没看出有什么,结果还是直接在burpsuite里面看到了flag。

应该是禁止JavaScript后,随机刷新,刷新到了10.jpg之后,下面就能看到flag了(不是10.jpg的话就是“flag is here”的提示)。

8. web8 文件包含

构造?hello=);echo file_get_contents('flag.php'

源码中即可看到flag。

* file_get_contents() 把整个文件读入一个字符串中。

9. web9 全局变量

直接加?args=GLOBALS。

10. web10 头等舱

看Response。

 

m3gaf0rce
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUGKU web--writeup
Sanky0u的博客
08-15 1万+
因为已经看到过很多关于bugku平台上面web题的writeup,我想自己就不需要每道题都写了,只写自己比较有收获的几题的writeup,并且将自己收集到的好几种解法都放上来。1. 文件上传测试这道题提示上传php文件,但选择php文件上传的时候又提示非图片文件。解法1:将一个php文件的后缀名改成.php.jpg或者.php.png,然后选择这个文件,点击上传的时候用burpsuite抓包,改文件
bugku成绩单writeup(手动注入、sqlmap注入、python盲注详解)
渗透、攻防、CTF、编程
07-01 874
知识点:SQL注入,三种解法手动注入、sqlmap注入、python盲注 一、手动注入 手动注入前先理解msysql的系统配置 select 1,database(),version();//查询数据库类型和版本 select * from information_schema.schemata //数据库下的所有库 schema_name='mysql' information_schema信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息,SCHEMATA表:提供了当
Bugku writeup
weixin_44119209的博客
03-03 467
Bugku题目writeup(一) 一些小的体会 在做ctf题目时要选择合适的浏览器,火狐或者是谷歌,一些常用插件搞搞清楚,前期做题靠工具,后期做题靠实力,注意自身知识的积累与总结 一.杂项 1.签到题 关注得到flag 2.这是一张单纯的图片 用winhex打开图片,发现一串数字,ascll码转码,得到flag 3.猜 百度有一个智能识图功能,识别一下,刘亦菲的大名就出来了 二.WEB 1....
bugku渗透测试 1 writeup(无需VPS)
没事我溜达
11-22 3854
BugKu该靶场只需要20金币就可以开启两小时,算的上非常良心实惠了,趁着有空赶紧刷一刷题目。
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
D3CTF2022-官方WriteUp1
08-03
本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User-Defined Functions(UDF)...
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
bugku杂项题writeup
11-22
bugku杂项题writeup
ctfhub web全部做题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全】Web安全是网络...
CTF_UNICON2020:netwars平台上托管的UNICON 2020 CTF编写
02-17
CTF_UNICON2020 netwars平台上托管的UNICON 2020 CTF编写 UNICON >>> KnowYourPayloads.counterhack.com CTF 招聘人员下载了执行某种恶意软件的resume.doc之后,我们在端点上检测到恶意活动。 我们能够使该端点脱机,然后再对其造成任何重大损害(我们认为),但是我们希望您调查可执行文件的确切功能。 此CT F将分为3级,要求您运行3种不同的合成恶意软件,并分析其功能。 1级和2级是问题/答案格式,而3级则要求您更深入。 感谢AGIAN SCYTHE-SANS CTF PREGAME •开始-PowerShell-右键单击-以管理员身份运行 Set-MpPreference -DisableRealtimeMonitoring $ true 下载1级有效负载并将其解压缩后,我们可以使用powertoys
bugku web所有writeup_超详细讲解_持续更新
weixin_30273931的博客
06-21 220
首先说一下我的主用工具,在windows下,主要是用这些,用到其他特定的工具会在题里说。 0.浏览器:火狐,配合Max hackbar插件 (这个是免费的) 1.抓包改包:burpsuite。https://portswigger.net/burp 2.目录扫描:dirmap。https://github.com/H4ckForJob/dirmap 3.sql注入:sqlmap...
Bugku加密writeup
TedLau的博客
12-22 530
Bugku加密writeup 滴答~滴 这个看形式是摩斯密码,我们可以在https://www.mathsking.net/morse.htm 进行摩斯密码转换,可以得到flag:BKCTFMISC,记住还有格式要求:KEY{} 聪明的小羊 一只小羊翻过了2个栅栏 KYsd3js2E{a2jda} 题目给了明显的提示,栅栏,也就是栅栏密码,所以我们进行二栏的栅栏解密可得:KEY{sad23jjds...
BugkuCTF web1~10 writeup
Mitchell_Donovan的博客
12-21 566
web1 原题链接 key:查看网页源代码 打开题目地址发现一堆滑稽笑脸,有点懵,但是查看源代码后会找到flag
BUGKU writeup
热门推荐
CHOOOU的博客
08-06 1万+
Reverse easy_vb soeasy easy_re f5查看v4和v5的值,再将十六进制转换成字符就行了 游戏过关 解题有好几种方式 1. 搜done,看到一个函数sub_45E940,F5,分析函数的内容,当然我不是这样做的,感觉麻烦 2. 修改程序逻辑,使得输入任意数直接弹flag,搜索loc_45F5B7,这个函数是判断是否满足灯全亮什么的,往下滑,下一...
bugku 密码学题目writeup整理(3)
a1004070060的博客
06-27 1712
接上一篇 19.Python(N1CTF) 下载下来两个py文件,是py2.x的,我电脑里没有py2环境所以花了点时间才跳到3.X可运行状态,运行之后得到密文: HRlgC2ReHW1/WRk2DikfNBo1dl1XZBJrRR9qECMNOjNHDktBJSxcI1hZIz07YjVx 没有思路,我太菜了,这加密算法真心看不懂,后来看了别人的writeup,才知道这是一种...
Bugku-WEB-writeup(持续学习中~)
devil_sad的博客
11-12 3302
滑稽 打开题目发现一堆笑脸怼脸 按F12直接查看网页源代码即可获得flag 计算器 打开之后发现需要计算并输入验证码,可只能输入一位数字 我们可以右键单击输入框审查元素把maxlength改成3,使得我们能在验证框输入三位数 输入验证码即可得到flag 或者我们也可以直接点击上文中红框中的"js/code.js"也可以直接查看flag POST 通过阅读代码得知$what=='flag'即可得到flag 可是我们直接在URL后输入无法得到flag,于是...
bugku CTF-练习平台 部分writeup
qq_26317875的博客
11-15 5323
俄罗斯套娃 来自宇宙的信号 银河战队出击
bugku-简单的社工尝试 writeup
Peithon的博客
04-30 1950
简单的社工尝试 这个狗就是我画的,而且当了头像 这题提示的其实很明显了 想想吧 去Google搜图 发现bugku关键字,点进去访问 在这里发现一个微博链接,点击到微博,然后在微博页面发现了这张图 访问图中的网址就可以得到flag c.bugku.com/13211.txt ...
bugku ctf sqli-0x1题解
最新发布
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值