新BugKu-web篇-web26

最新推荐文章于 2022-10-31 17:49:55 发布
最新推荐文章于 2022-10-31 17:49:55 发布
阅读量106 收藏
点赞数
分类专栏: 新BugKu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiuyongpinyin/article/details/117420483
版权

web26

这道题考察的是HTTP header中的Referer字段,Referer是HTTP请求头信息里面的一个常见字段,它提供了访问来源的信息。比如说,在某网站上看到一个广告并点了进去,那么我就可能会在HTTP 协议在请求(request)的头信息里面看到Referer这一字段给出“引荐网页”的URL,让人知道我们是通过“某网站”进入的这个广告页。
先看题目
在这里插入图片描述
那就可能是让你在referer中填入google 的域名
使用bp抓包,改包尝试
在这里插入图片描述
得到flag,这里必须要有www,直接填入google.com是不可以,不知道为什么










注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正

拼音怪兽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugKu Web26-35)
kid的博客
09-11 966
BugKu Web26-35) 前言 发现以前做了几道题,然后凑成了10道写一下。确实做起来会发现和比赛的题相比质量还是要差很多。 但对于我这样的菜鸟拿来练习打打基础还是可以的 题目 过狗一句话 可以看到提示,给了一个一句话马,简化一下就是assert($_GET[‘s’])这么一个一句话 assert没怎么用过… 查了下可以用下面的函数来搜寻目录 scandir() //作用能扫描文...
Bugku CTF web26Web
ChaoYue_miku的博客
03-09 335
0、打开网页,只有一句话:are you from google? 看起来需要告诉服务器,请求来源于gooole,所以我们考虑添加请求头Referer: https://www.google.com 1、使用HackBar添加Referer:https://www.google.com 使用BrupSuite抓包后修改Referer发送也是可以的,这里就不演示了,可自行尝试 2、得到flag:flag{d993824771c91ea1cba0fbe366cd14a5} ...
Bugku Web26
JJT
05-11 111
Bugku Web26 Google 进入场景,只有一行小字 are you from google 推测应该将Referer改为谷歌的网址 用hackbar或者burpsuite都可以做到
WEB26——Linux基础(了解Linux的简介与安装 、掌握Linux常用的命令 、掌握Linux系统上JDK/Mysql/Tomcat的安装)
nerveboy学习笔记
05-29 517
 一、Linux的简介1.Linux的概述Linux是基于Unix的开源免费的操作系统,由于系统的稳定性和安全性几乎成为程序代码运行的最佳系统环境。Linux是由Linus Torvalds(林纳斯·托瓦兹)起初开发的,由于源代码的开放性,现在已经衍生出了千上百种不同的Linux系统。Linux系统的应用非常广泛,不仅可以长时间的运行我们编写的程序代码,还可以安装在各种计算机硬件设备中,比如手机、...
BugKu论剑场——Web26Web14、Web15
veinard_F的博客
04-26 608
Web26 打开题目后出现代码,可知是代码审计的题目。 仔细看发现首先要绕过一个正则表达式,否则输出的是 vagetable hhhh通过学习正则表达式,知道preg_match 指在字符串里搜索符合要模式的搜索模式的字符,并返回所给参数; 这句代码的意思是如果匹配的是数字字符串就执行下面的语句,所以要想绕过必须使str为字母字符串 ...
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
WEB26_AJAX
qq_38827988的博客
03-26 118
Ajax全称:Asynchronous JavaScript and XML 异步的JS与XML 同步与异步: 这里通俗的理解就是: 同步的时候,做某件事的时候必须专心,不能干别的事情. 异步的时候,做某件事的同时你也可以做别的事情.什么时候去做那件事,都行. Ajax的原理: 打个比方,就是代理的意思.本来某件事由你自己去做,现在你把事情交给另一个人,让他帮你完成,这期间你...
bugku 26 ~ 27write up(web)
giun的博客
03-18 368
一、第26题(过狗一句话) 打开链接发现一空白,抓包也没什么发现。那么我们只能分析上面那段代码了 explode()函数就是把$poc变量用#号来分割开来。那么$poc_2就是assert,他和最后一句代码构造成了assert()函数,assert函数功能跟eval类似,可以把里面的内容当作代码来执行。 那么我们构造payload为?s=print_r(scandir('./')),扫描出描本...
CTF-Web26(涉及SQL注入--基础题)
→_→
09-28 1145
26.这个看起来有点简单! 分析: 这一道题很明显是一道SQL注入题,这里我们手工注入: 1、判断是否存在注入点 http://ctf5.shiyanbar.com/8/index.php?id=1 and1=1 http://ctf5.shiyanbar.com/8/index.php?id=1 and1=2 回显不同,说明存在注入点 2、猜字段数 http://ctf5.shiyanbar.com/8/index.php?id=1 order by 2 ...
Web入门2
2514804004的博客
10-31 1024
web exp
new bugku web26 writeup(CTF_论剑场)
nonono123456的博客
09-20 1406
new bugku web26 writeup(CTF_论剑场) 根据代码可以看到,传入参数为num以及str。 当传入flag是可以读取flag.php。 直接构造?num=3&str=flag可以发现flag
CTF-show-爆破
qq_52696970的博客
04-06 4049
WEB入门-爆破1、web212、web223、web234、web245、web256、web267、web278、web28 1、web21 tomcat认证爆破–用户名:密码,一般使用custom iterator爆破 From:https://www.cnblogs.com/007NBqaq/p/13220297.html 得到爆破字典和需要输入账号密码的网页,于是先尝试输入账号admin密码1234进行抓包 抓包后没有看到admin或password的字段,但是看到一串base编码 解码结果为a
python 身份证号校验码计算方法
weixin_47411110的博客
04-02 2123
# 身份证验证规则: # 第十八位数字(校验码)的计算方法为: # 1.将前面的身份证号码17位数分别乘以不同的系数。从第一位到第十七位的系数分别为:7 9 10 5 8 4 2 1 6 3 7 9 10 5 8 4 2 # 2.将这17位数字和系数相乘的结果相加与11进行相除。 # 3.余数0 1 2 3 4 5 6 7 8 9 10这11个数字,其分别对应的最后一位身份证的号码为1 0 X 9 8 7 6 5 4 3 2。 # 4.例如 余数为 0 , 则身份证最后一位就是1 # 余数为 2
bugkuCTF Writeup (Web26-29
Troublor的博客
01-28 3159
never give up 看源码,有提示 去看1p.html的源码 HTML> HEAD> SCRIPT LANGUAGE="Javascript"> <!-- var Words ="%3Cscript%3Ewindow.location.href%3D%27http%3A//www.bugku.com%27%3B%3C/script%3E%20%0A%3C%21--JTIyJ
BugKu Web(21-25)
kid的博客
06-06 1936
BugKu Web(21-25) 前言 bugku刷题,本来想每10道写一的,但水平有限,发现到这里题目难度已经有点大了,所以每5道题整合一吧… 题目 秋名山老司机 登陆可以看到如上提示,然后快速刷可以看到要求是post提交,键名为value 这肯定是人工没法完成的,必须写脚本 py脚本写起来的时候,没有用过eval函数,是真的痛苦,不断字符串处理,条件判断… 最后还不对,最后看...
bugku s1 awd排位赛-12
最新发布
08-07
bugku s1 awd排位赛-12是Bugku安全平台上举办的一场AWD(Attack and Defense)排位赛的第12轮比赛。Bugku是一个致力于网络安全技术研究和交流的平台,这场比赛的目的是为了检验参赛者在攻击和防御方面的技术实力。 在AWD比赛中,参赛队伍被分为进攻方和防守方。进攻方需要利用各种手段,如漏洞利用、渗透测试等,成功攻击防守方的系统或应用程序,获取旗帜(Flag)作为证明。而防守方则需要尽可能地去发现并修补自己系统或应用程序中的漏洞,以防止被攻击方获取旗帜。 在bugku s1 awd排位赛-12中,参赛者们经过激烈的竞争,展示了他们在网络安全领域的知识和技能。比赛中的题目可能涉及到各种不同的技术,如Web安全、二进制安全、密码学等。参赛者需要运用他们的专业知识和创思维来解决这些挑战。 AWD比赛不仅仅是一场技术竞赛,更是一个学习和提高的机会。通过参与这类比赛,参赛者可以锻炼自己的技术能力,增强他们对网络安全的理解和认识。此外,比赛还促进了参赛队伍之间的交流和合作,提供了一个分享和学习经验的平台。 总而言之,bugku s1 awd排位赛-12是一个让参赛者在攻击和防御中展示自己技术的平台,并提供了一个促进交流和学习的机会。通过这样的比赛,可以推动网络安全领域的发展,培养更多优秀的安全人才。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值