新BugKu-web篇-web26

最新推荐文章于 2022-10-31 17:49:55 发布
最新推荐文章于 2022-10-31 17:49:55 发布
阅读量106 收藏
点赞数
分类专栏: 新BugKu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiuyongpinyin/article/details/117420483
版权

web26

这道题考察的是HTTP header中的Referer字段,Referer是HTTP请求头信息里面的一个常见字段,它提供了访问来源的信息。比如说,在某网站上看到一个广告并点了进去,那么我就可能会在HTTP 协议在请求(request)的头信息里面看到Referer这一字段给出“引荐网页”的URL,让人知道我们是通过“某网站”进入的这个广告页。
先看题目
在这里插入图片描述
那就可能是让你在referer中填入google 的域名
使用bp抓包,改包尝试
在这里插入图片描述
得到flag,这里必须要有www,直接填入google.com是不可以,不知道为什么










注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正

拼音怪兽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugKu Web26-35)
kid的博客
09-11 966
BugKu Web26-35) 前言 发现以前做了几道题,然后凑成了10道写一下。确实做起来会发现和比赛的题相比质量还是要差很多。 但对于我这样的菜鸟拿来练习打打基础还是可以的 题目 过狗一句话 可以看到提示,给了一个一句话马,简化一下就是assert($_GET[‘s’])这么一个一句话 assert没怎么用过… 查了下可以用下面的函数来搜寻目录 scandir() //作用能扫描文...
Bugku CTF web26Web
ChaoYue_miku的博客
03-09 335
0、打开网页,只有一句话:are you from google? 看起来需要告诉服务器,请求来源于gooole,所以我们考虑添加请求头Referer: https://www.google.com 1、使用HackBar添加Referer:https://www.google.com 使用BrupSuite抓包后修改Referer发送也是可以的,这里就不演示了,可自行尝试 2、得到flag:flag{d993824771c91ea1cba0fbe366cd14a5} ...
Bugku Web26
JJT
05-11 111
Bugku Web26 Google 进入场景,只有一行小字 are you from google 推测应该将Referer改为谷歌的网址 用hackbar或者burpsuite都可以做到
WEB26——Linux基础(了解Linux的简介与安装 、掌握Linux常用的命令 、掌握Linux系统上JDK/Mysql/Tomcat的安装)
nerveboy学习笔记
05-29 517
 一、Linux的简介1.Linux的概述Linux是基于Unix的开源免费的操作系统,由于系统的稳定性和安全性几乎成为程序代码运行的最佳系统环境。Linux是由Linus Torvalds(林纳斯·托瓦兹)起初开发的,由于源代码的开放性,现在已经衍生出了千上百种不同的Linux系统。Linux系统的应用非常广泛,不仅可以长时间的运行我们编写的程序代码,还可以安装在各种计算机硬件设备中,比如手机、...
BugKu论剑场——Web26Web14、Web15
veinard_F的博客
04-26 608
Web26 打开题目后出现代码,可知是代码审计的题目。 仔细看发现首先要绕过一个正则表达式,否则输出的是 vagetable hhhh通过学习正则表达式,知道preg_match 指在字符串里搜索符合要模式的搜索模式的字符,并返回所给参数; 这句代码的意思是如果匹配的是数字字符串就执行下面的语句,所以要想绕过必须使str为字母字符串 ...
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
WEB26_AJAX
qq_38827988的博客
03-26 118
Ajax全称:Asynchronous JavaScript and XML 异步的JS与XML 同步与异步: 这里通俗的理解就是: 同步的时候,做某件事的时候必须专心,不能干别的事情. 异步的时候,做某件事的同时你也可以做别的事情.什么时候去做那件事,都行. Ajax的原理: 打个比方,就是代理的意思.本来某件事由你自己去做,现在你把事情交给另一个人,让他帮你完成,这期间你...
bugku 26 ~ 27write up(web)
giun的博客
03-18 368
一、第26题(过狗一句话) 打开链接发现一空白,抓包也没什么发现。那么我们只能分析上面那段代码了 explode()函数就是把$poc变量用#号来分割开来。那么$poc_2就是assert,他和最后一句代码构造成了assert()函数,assert函数功能跟eval类似,可以把里面的内容当作代码来执行。 那么我们构造payload为?s=print_r(scandir('./')),扫描出描本...
CTF-Web26(涉及SQL注入--基础题)
→_→
09-28 1145
26.这个看起来有点简单! 分析: 这一道题很明显是一道SQL注入题,这里我们手工注入: 1、判断是否存在注入点 http://ctf5.shiyanbar.com/8/index.php?id=1 and1=1 http://ctf5.shiyanbar.com/8/index.php?id=1 and1=2 回显不同,说明存在注入点 2、猜字段数 http://ctf5.shiyanbar.com/8/index.php?id=1 order by 2 ...
Web入门2
2514804004的博客
10-31 1024
web exp
new bugku web26 writeup(CTF_论剑场)
nonono123456的博客
09-20 1406
new bugku web26 writeup(CTF_论剑场) 根据代码可以看到,传入参数为num以及str。 当传入flag是可以读取flag.php。 直接构造?num=3&str=flag可以发现flag
CTF-show-爆破
qq_52696970的博客
04-06 4049
WEB入门-爆破1、web212、web223、web234、web245、web256、web267、web278、web28 1、web21 tomcat认证爆破–用户名:密码,一般使用custom iterator爆破 From:https://www.cnblogs.com/007NBqaq/p/13220297.html 得到爆破字典和需要输入账号密码的网页,于是先尝试输入账号admin密码1234进行抓包 抓包后没有看到admin或password的字段,但是看到一串base编码 解码结果为a
python 身份证号校验码计算方法
weixin_47411110的博客
04-02 2123
# 身份证验证规则: # 第十八位数字(校验码)的计算方法为: # 1.将前面的身份证号码17位数分别乘以不同的系数。从第一位到第十七位的系数分别为:7 9 10 5 8 4 2 1 6 3 7 9 10 5 8 4 2 # 2.将这17位数字和系数相乘的结果相加与11进行相除。 # 3.余数0 1 2 3 4 5 6 7 8 9 10这11个数字,其分别对应的最后一位身份证的号码为1 0 X 9 8 7 6 5 4 3 2。 # 4.例如 余数为 0 , 则身份证最后一位就是1 # 余数为 2
bugkuCTF Writeup (Web26-29
Troublor的博客
01-28 3159
never give up 看源码,有提示 去看1p.html的源码 HTML> HEAD> SCRIPT LANGUAGE="Javascript"> <!-- var Words ="%3Cscript%3Ewindow.location.href%3D%27http%3A//www.bugku.com%27%3B%3C/script%3E%20%0A%3C%21--JTIyJ
BugKu Web(21-25)
kid的博客
06-06 1936
BugKu Web(21-25) 前言 bugku刷题,本来想每10道写一的,但水平有限,发现到这里题目难度已经有点大了,所以每5道题整合一吧… 题目 秋名山老司机 登陆可以看到如上提示,然后快速刷可以看到要求是post提交,键名为value 这肯定是人工没法完成的,必须写脚本 py脚本写起来的时候,没有用过eval函数,是真的痛苦,不断字符串处理,条件判断… 最后还不对,最后看...
bugku s1 awd排位赛-12
最新发布
08-07
bugku s1 awd排位赛-12是Bugku安全平台上举办的一场AWD(Attack and Defense)排位赛的第12轮比赛。Bugku是一个致力于网络安全技术研究和交流的平台,这场比赛的目的是为了检验参赛者在攻击和防御方面的技术实力。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值