CTF论剑场web题目(持续更新)--WEB21

最新推荐文章于 2024-05-24 17:00:31 发布
最新推荐文章于 2024-05-24 17:00:31 发布
阅读量408 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiuyongpinyin/article/details/107524294
版权

web21

首先声明,这道题我自己没做出来,代码审计的题除非特别简单,要不对于我这萌新来说,都和看天书一样,这道题是参考大佬的
参考链接:https://blog.csdn.net/weixin_45940434/article/details/104031504
再次感谢大佬!!!
首先打开页面,查看网页源代码:
在这里插入图片描述
这里是一个PHP伪协议,使用文件包含,构造payload:

在这里插入图片描述

POST传入参数**(但是我不知道为什么是POST传参,有知道的大佬麻烦给我留言,万分感谢!!)**
base64解码得到index.php真正的源代码:
在这里插入图片描述
接下来查看class.php的源代码:
在这里插入图片描述

在index.php的源代码里,第一个箭头是正则表达式,告诉我们如果file匹配了f1a9,就退出,第二个箭头是反序列化pass这个变量,接着在class.php源代码里告诉了我们如何构造pass变量的序列化:
在这里插入图片描述
接着我们构造payload:
在这里插入图片描述
接着查看源代码,flag就在里面:
在这里插入图片描述
注:不知道为什么,谷歌浏览器的hackbar做不了这个,POST传参传不上去,我用了火狐浏览器的一个专版,其次这道题包含了很多知识,对于本人来说有点拔高了,代码审计的功力真的不是一两个月就可以的,我接触CTF刚刚三个月,从零基础开始,代码审计这样的题对我来说很难,所以我在这个平台上做题的时候,就想到了自己写write up ,来加深自己的印象,不对的地方还请大家多多指正!!

注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正。

拼音怪兽
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-WEB(攻防世界题目-新手区)
皮卡乒的皮卡乓
09-27 3310
CTF-WEB新手区view_sourcerobotsbackup 新手区 view_source 题目:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解:右键有用不了,那就直接用F12,查看源码 可以看到这里的注释即为Flag robots 题目:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解: 一进来,啥也没有。根据题目,是robots协议: robots协议也叫robots.txt(统一小写)是一种存放于网站根目录
2021-06-24CTF-攻防世界-WEB新手练习区(12题入门题)
u258710的博客
06-24 2518
CTF-攻防世界-WEB新手练习区(12题入门题)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目提示查看网页源代码,但鼠标右键不管用
CTFWeb方向练习题)(持续更新
m0_56010012的博客
02-23 5075
1.Training-WWW-Robots 打开应用景,如下: 网址后面添加/robots.txt 查看其中内容(robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件),内容如下: 根据提示,访问/fl0g.php,得到flag值。 ...
CTF Web入门题目——Bugku Web 题目题解——发送HTTP请求篇(3道基础题目)
日熙的博客
07-14 5514
1)Bugku web基础$_GET: http://123.206.87.240:8002/get/ 题目: 思路: 关键是分析PHP代码: $what=$_get['what']———意思是用get方式提交what的值 if($what=='flag') echo 'flag{****}';———要令what变量与字符串‘flag’相等才 得到flag。 所以我们就直接在地址栏中加上?what=flag。 其中?是变量的标识,这句话表示有一个名为what,值为flag的变量。 答案为:flag{bug
CTF wed安全(攻防世界)练习题_ctfweb题目
最新发布
Innocence_0的博客
05-24 414
进入网站如图:翻译:在这个小小的挑战训练中,你将学习Robots exclusionstandard。网络爬虫使用robots.txt文件来检查它们是否被允许抓取和索引您的网站或只是其中的一部分。有时这些文件会暴露目录结构,而不是保护内容不被抓取。好好享受吧!**步骤一:**进入robots.txt文件,如图:**步骤二:**得到/f10g.php,在进入这里面得到flag提交即可成功!!!
CTF-Web基础题
weixin_52182264的博客
04-21 6454
CTF-Web基础题
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTFWeb各种题目的解题姿势PPT模板
02-21
CTFWeb各种题目的解题姿势PPT模板
ctfweb攻防工具-御剑1.5.7z
04-06
【御剑】是一款知名的Web安全扫描工具,常用于CTF(Capture The Flag)竞赛和网络安全检测。CTF是一种信息安全竞赛,参与者通过展示攻击与防御技术来争夺“旗标”,即获取或保护特定的信息资源。在这样的竞赛中,Web...
CTF-入门练习题
10-30
题目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
CTF_WEB(习题)
若比邻的博客
12-15 5071
一、bugku_web_cookie欺骗:https://ctf.bugku.com/challenges/detail/id/87.html 地址栏filename一看为base64,解密为keys.php 尝试index.php加密为base64:aW5kZXgucGhw,读取一下,啥也没有 观察地址栏,将line赋值为1试试,发现是将index.php按行读取了 将index.php读取出来,读读取结果 #cookies欺骗 import requests php=""
CTF日记之web题目(入门题目
sunleibaba的博客
01-22 944
CTF日记 今天的题目是i春秋ctf中的:“百度杯”CTF比赛 2017 二月 web 爆破-3 如图所示网页,可以看到是一道代码审计的题目: <?php error_reporting(0); session_start(); require('./flag.php'); if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'] = 'e
【和小白一起练习CTF】攻防世界:web基础练习题(1)
xtcc的博客
08-07 3194
robots.txt文档记录了不应该被搜索引擎的漫游器获取的东西 ,它一般放在根目录下,搜索引擎搜索这个网站时,首先访问这个robots.txt,如果它存在,那就按照它上面写的,不允许访问的页面就不访问,如果它不存在,那搜索引擎就可以查阅所有没有口令保护的页面。:打开网页之后,发现有个按钮,但是点击不了,这时按下F12,打开开发者工具,修改网页源代码,去掉disabled,按钮就可以点击了,这时就出现了flag。:这道题目是要我们了解一下网页的备份文件,在了解之后就可以轻松解决这道题目,下面先介绍一下。..
AWCTF萌新赛web题WP
qq_44060093的博客
12-05 781
web 1、pacman 一个游戏,看到题目直接看网页源代码 因为不能邮右键,所以直接在view-source:加网址 view-source:http://49.232.149.138:11521/pacman/ 看到两个js文件,都打开 在index.js中发现flag base64解密 然后将解密出来的那个js代码放入控制台中,然后能出来flag ...
CTFweb题库笔记(难度4)
cocoaiu的博客
08-13 5434
CTFweb题库笔记(41-50)
CTFshow-Web入门》03. Web 21~30
学习学习学习......
11-25 1438
用户名密码爆破、域名爆破、PHP 代码分析、PHP 伪随机数及其逆推、burpsuite 暴力破解、eval() 利用与正则绕过。
CTFHub | 网站源码
尼泊罗河伯的博客
10-04 1802
根据题目介绍,这题应该是访问网站目录可以查看到泄露的备份源码,一开始使用手工随机试了几个看看能不能运气好直接查到,最后还是选择写了个小脚本。
2019 CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx 本文档主要是关于CTF安全大赛的题目下载和write up,涵盖了多个题目和解题步骤。 **CTF安全大赛** CTF(Capture The Flag)是指在网络安全领域中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值