CTF论剑场web题目(持续更新)--WEB4

最新推荐文章于 2024-03-26 12:26:48 发布
最新推荐文章于 2024-03-26 12:26:48 发布
阅读量224 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiuyongpinyin/article/details/107481571
版权

web4

打开是个登陆页面,检查源码发现什么也没有,那就尝试登陆一下并抓包:
在这里插入图片描述
发现提示了用户名或密码错误,我先简单的扫描了一下后台,发现没有什么有用的东西,然后想到了sql注入,先使用万能的 or 1=1 试一下:
在这里插入图片描述
发现返回了flag.txt,那说明可能就是这个,我们回到登陆界面试一下:
在这里插入图片描述
发现登陆进去了,flag就在里面。

注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正。

拼音怪兽
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow-VIP题目-Web-详细解题思路
01-27
cookie泄露:根据题目提示,用burp抓包,查看cookie,发现flag,flag:ctfshow{f1d3941b-a3a7-4ff0-aae1-18d917299635}。 域名txt记录泄露:可以使用以下网站:在线域名解析记录检测-在线Nslookup域名解析查询工具 ...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF论剑 web4 web5 web25 web23
veinard_F的博客
06-05 336
web4 打开题目后提示登陆即可看到flag 尝试一下万能密码 得到flag web5
CTF_论剑 Web WriteUp(持续更新
qq_41995976的博客
05-19 6437
文章目录web1web9流量分析web2web5web6web11web13日志审计web20 web1 利用的是变量覆盖漏洞 http://www.mamicode.com/info-detail-2314166.html payload:http://123.206.31.85:10001/?a=&c=aaaaa web9 题干: 要求你PUT一串信息"bugku" 才能获得flag...
buuctf-BUU BRUTE 1
m0_74013288的博客
09-24 961
当我们知道用户的账号,但不知道用户的密码时,可以使用万能密码,同样,它也不是一个真正意义上的密码,而是一个【拥有不同变体的格式】打开靶机后,我们可以看见一个登录界面,随机输入账号与密码,显示错误,那么Brup Suite进行爆破,找到正确账号为admin。需要注意的是,以下所有万能账号中的 a 可以是自定义的数字或字母,比如 1,2,3,b,c,d。密码随便输入,比如 123456。万能密码的使用:用户名输入万能密码】,比如 admin’ #需要注意的是:万能密码中的 admin,必须是真实的用户名。
CTF习题解答--查找正确的密码 [JS题型]
凡森
04-29 4728
首先发题 小黑客们,坐好了,老司机要开车了! 这是密码错误的提示 当我们输入正确的密码,会提示 首页的代码 <html> <head> <title>Flag in your Hand</title> <style type="text/css"> ...
Buuctf [极客大挑战 2019]EasySQL1
qq_75120258的博客
10-16 100
万能密码就是绕过登录验证直接进入管理员后台的密码,这种类型的密码可以通用到很多存在此漏洞的网站,所以称之为万能。
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctfweb攻防工具-御剑1.5.7z
04-06
【御剑】是一款知名的Web安全扫描工具,常用于CTF(Capture The Flag)竞赛和网络安全检测。CTF是一种信息安全竞赛,参与者通过展示攻击与防御技术来争夺“旗标”,即获取或保护特定的信息资源。在这样的竞赛中,Web...
CTFWeb各种题目的解题姿势PPT模板
02-21
CTFWeb各种题目的解题姿势PPT模板
2016X-NUCA联赛web真题(CTF练习)
m0_46625346的博客
07-23 1392
BaseInjection-不知道密码也能登录 BaseInjection,基本注入,再加上题目的提示信息:不知道密码也能登录。 输入最常见的万能密码:admin’ or ‘1’=’1,密码任意,发现没有成功,提示用户名或密码错误。可能是这里限制了payload的长度,我们再使用其他的payload来注入:1’ or ‘1’=’1,依然是提示用户名或密码错误。经过尝试判断后端限制payload长度为小于11。(如果把payload中的空格去掉,依旧可以哦!!也就是这样 1’or‘1’=’1) 构
CTF题记—ctfshow&&BUU
m0re's blog
10-03 2687
web19 题目描述:密钥什么的,就不要放在前端了 打开题目是登录框,第一想法是去尝试了万能密码。但是没有成功。然后才回过头看题目描述是前端有密钥。所以就看源代码。 上面是加密方法,百度发现是前端AES加密。它会将用户输入的密码字符串进行加密。两种可行方法,第一种是解密,先百度,然后这样这样,再那样那样就解出来了。(没有使用这种)。第二种是抓包修改,绕过前端验证。将密钥修改为$p的字符串。发包得到flag web 7、8 题目描述:版本控制很重要,但不要部署到生产环境更重要。 版本信息部署到生产环境,两
红队笔记9:CTF7打靶流程-sql注入万能密码-密码喷射(vulnhub)
最新发布
qq_63442530的博客
03-26 1414
目录开头:1.主机发现和端口扫描2.攻击优先级分析:3.80端口和8080端口-sql注入万能密码-报错信息泄露目录结构4.提权-寻找敏感信息(登录凭据)5.密码喷射登录ssh6.总结学习的视频是哔哩哔哩红队笔记:「红队笔记」靶机精讲:LAMPSecurityCTF7 - 字符串魔法、密码喷射,这才是实战技术。_哔哩哔哩_bilibili打靶时参考文章和本文借鉴文章:红队打靶:LampSecurity:CTF7打靶思路详解(vulnhub)_lampsecurityctf-CSDN博客靶机下载链接见:htt
每天一道CTF 第二天
scrawman的博客
03-01 795
今天这个题目很简单,但我还是做了好久。有一些payload之前试了没成功后面再试又可以了,搞得我也很疑惑,不知道自己是不是之前引号没打对还是空格没打对。 进入正题: [极客大挑战 2019]EasySQL 题目就告诉我们了是要SQL注入 在用户名和密码分别输入admin’,password,报错显示如下 admin,password’,报错显示如下 admin’,password’,报错显示如下 结合三种情况来看,username使用的是单引号,password使用的是双引号。或者再用admin'#
CTF论剑web题目持续更新)--WEB14
jiuyongpinyin的博客
07-22 308
web14 打开页面查看源码: 告诉我们“这是一个假的403,你应该善于发现“,其实这并没有什么用,嘿嘿,题目告诉我们“听说备份了不少东西呢”,所以我想到了备份文件泄露,先用工具扫一下: 发现了这个,典型的.git备份文件泄露,所以咱们直接上工具Githack 链接在这: https://github.com/lijiejie/GitHack 扫描完成后出现了这两个文件: 查看flag.php,flag就在里面。 注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正。 ...
CTF_论剑 misc杂项 WriteUp(持续更新
qq_41995976的博客
05-19 9804
签到题 提交这里的flag即可 Snake 开始游戏要先注册 登录后发现是一个贪吃蛇游戏 并且题干里说要攒够500分就可获得flag 一开始思路是逆向工程 然后找flag 但是根据经验( 并且电脑里正好有CE 就使用CE来改分数了 但是发现改了分数之后的flag为乱码…… 于是又搞了一会儿 发现是长度的问题…… 于是把长度和分数一起修改: 成功获得了flag 之后的再做了之后更新 ...
CTF论剑web题目持续更新)--WEB5
jiuyongpinyin的博客
07-18 308
web5 首先,题目提示注入,进去之后发现有个id值,猜测这里就是注入点。 进行尝试后发现,这里属于数字型注入并且存在联合查询的注入,所以构造payload: 1.使用order by 语句查询列: 尝试后发现有4列 2.使用联合查询,并暴库: 发现数据库的名称是web5, 3.爆出数据库中的表: payload: mod=read&id=11 union select 1,2,(select group_concat(table_name) from information_schema.tab
BUUCTFweb比赛做题记录
qq_51558360的博客
03-16 897
[VNCTF 2021]Ez_game 打开为通过游戏 手打通关是不可能的 法一:在控制台输入winTimer.Set(); 法二: https://www.sojson.com/jsobfuscator.html 输入winTimer[“endTime”]=99 得到加密,并复制到控制台,回车即可 不可以看全flag,那么就Ctrl和-来放小一点即可 [GKCTF2020]老八小超市儿 做题之前先来小菜: 就知道默认后台就是admin.php, 登入的默认账号密码是admin和shopxo。 输入
CTF论剑web题目持续更新)--WEB21
jiuyongpinyin的博客
07-22 421
web21 首先声明,这道题我自己没做出来,代码审计的题除非特别简单,要不对于我这萌新来说,都和看天书一样,这道题是参考大佬的 参考链接:https://blog.csdn.net/weixin_45940434/article/details/104031504 再次感谢大佬!!! 首先打开页面,查看网页源代码: 这里是一个PHP伪协议,使用文件包含,构造payload: POST传入参数**(但是我不知道为什么是POST传参,有知道的大佬麻烦给我留言,万分感谢!!)** base64解码得到inde
2019 CTF题目下载及Write-up解析
CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx 本文档主要是关于CTF安全大赛的题目下载和write up,涵盖了多个题目和解题步骤。 **CTF安全大赛** CTF(Capture The Flag)是指在网络安全领域中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值