新BugKu-web篇-web23

最新推荐文章于 2024-06-20 16:36:51 发布
最新推荐文章于 2024-06-20 16:36:51 发布
阅读量86 收藏
点赞数
分类专栏: 新BugKu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiuyongpinyin/article/details/117413514
版权

web23

这道题就是考验正则,做的有点吐了,但是确实正则的题目做的太少了,不对照着正则表格,根本做不来,首先看题目
在这里插入图片描述
我们直接看正则,要一点一点的看

key.*(匹配任意字符一次或者多次)key.{4,7}(匹配任意字符4~7次)key:\/.(匹配任意字符)\/(.*(匹配任意字符一次或者多次)key)[a-z](匹配任意小写字母)[[:punct:]](匹配任意标点符号)/i(不区分大小写)

剩下的就是把规则里有的照着写下来(不知道这种方式大家能看懂吗)
构造payload

keya  // key.*(匹配任意字符一次或者多次)
keyasdfg // key.{4,7}(匹配任意字符4~7次)
key:/1  // key:\/.(匹配任意字符)
/akeya  // /(.*(匹配任意字符一次或者多次)key)[a-z](匹配任意小写字母)
! // [[:punct:]](匹配任意标点符号)/i(不区分大小写)

最后的payload

http://114.67.246.176:14369/?id=keyakeyasdfgkey:/1/akeya!

得到flag
在这里插入图片描述










注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正

拼音怪兽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
Bugku-web】计算器
weixin_73625393的博客
01-21 510
2.按"F12"查看页面源代码,根据箭头指向可以看到这个空白框内的长度为1,也就是输完一个字就不能往后输了,根据这样就直接更改数据1改3,3.改后:多写几个字不碍事,然后计算正确值是多少,填写正确后提交出现flag值。
2024年最全CTF BugKu平台—(Web①)_ctf bugku web(1),金三银四我带你去BAT面试现场
2401_84281698的博客
05-11 687
白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。弱密码top1000?是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag。
BugKu-web-web3
jiuyongpinyin的博客
05-28 99
web3 这道题是一道很简单的代码审计,首先看题 这是使用GET方法传入一个what参数,如果what传入的参数等于flag的时候,返回flag{****} 接下来就是构造payload http://114.67.246.176:19948/?what=flag 得到flag 注:萌第一次写write up,不足之处还请见谅,不对之处欢迎批评指正 ...
Bugku-web-留言板
最新发布
qq_68457525的博客
06-20 266
ctf中关于xss跨站脚本漏洞的学习
Bugku---web---成绩查询
weixin_47450099的博客
06-03 547
sql注入相关知识,内有各种爆破语句
Bugku-Web-Simple
m0_70309959的博客
10-27 94
Bugku-Web-Simple
BugKu-web-web8
jiuyongpinyin的博客
05-29 218
web8 这种题目一直是自己的弱项,首先先看题目 首先在PHP中,提供了:include(),include_once()require(),require_once()这些文件包含函数,这些函数在代码设计中被经常使用到。所以有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞。 也就是说可以将这几个函数视为文件包含漏洞的特征,那么我们来分析代码。 首先使包含了flag.php这个文件,其次定义了变量a使用前端的hel
BUGKU--web详解
qq_49422880的博客
05-28 1955
web5-web?前言Web4Web5Web6Web7Web8game1Web11社工-伪造一级目录一级目录 前言   听说bugku的题很适合手我就来了,感觉前几题都比较简单也没什么好总结的,就从第四题开始吧,后面要是碰到简单的估计只会略微提起几句,大家要是有不理解的知识点,可以私信我。 Web4   就是考察简单的代码审计,只需要传递的what的变量等于flag即可,于是我们可以构造一个payload,用win10的cmd发送,用Burpsuite抓包返包或则firefox的harbar也可以完成这个
BUGKU-WEB 留言板1
天泽岁月
02-18 1127
BUGKU-WEB 留言板1,xss双写绕过
wp-bugku-web-getshell
bin789456的博客
08-24 508
写在前面 本题主要知识点:含php混淆加密,webshell进阶绕过。 wp 打开题,非常乱的代码,隐约看得出是php代码,确定是php加密: 如果你想学习,什么是混淆加密或者为什么需要混淆加密,可以查看: 混淆加密详解 解密方法如下: 1.调试解密 2.在线解密:https://www.zhaoyuanma.com/phpjm.html 在线解密结果如下: 显然我们可以蚁剑连接了 连接后但只能访问当前目录 提示错误,权限不足,在终端中使用命令,也没啥反应。 很有可能是disable_function
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
BugKu-web-Simple_SSTI_1
jiuyongpinyin的博客
05-28 3050
BugKu-web-Simple_SSTI_1 网上很很多的writeup,发现描述的都不是很全面,本人也是菜鸡,写一下对于这道题的理解,首先web应先看题目,再看源码,源码里没提示再看其他东西。 回到这道题,先看题目 题目告诉我们要传入一个flag参数,我尝试了POST直接就报错了,所以选择个get的传入方式,然后看源码 提示我们在flask里,经常设置一个secret_key变量,这里就得讲一下了,首先是Jinjan2 基础语法 分为三种: {% … %} {{ … }} {# … #} ​
BugKu -- PRA -- 应急加固【简单】
jiuyongpinyin的博客
01-25 1691
BugKu -- PRA -- 应急加固【简单】
BugKu -- PRA -- 应急加固1
jiuyongpinyin的博客
01-11 1563
Bugku -- PRA -- 应急加固1
bugku s1 awd排位赛-12
08-07
bugku s1 awd排位赛-12是Bugku安全平台上举办的一场AWD(Attack and Defense)排位赛的第12轮比赛。Bugku是一个致力于网络安全技术研究和交流的平台,这场比赛的目的是为了检验参赛者在攻击和防御方面的技术实力。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值