BugkuCTF_WEB

最新推荐文章于 2022-06-28 14:44:01 发布
最新推荐文章于 2022-06-28 14:44:01 发布
阅读量285 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46263419/article/details/106753829
版权

BugkuCTF_WEB习题(持续更新)

1.web2
这题查看源代码即可,在url前加上 view-source: 。或者按F12也行
在这里插入图片描述
2.计算器
按F12, 用选区器选取文本框,在maxlength那个把1改大就可以正常输入了
在这里插入图片描述 3.web基础$_GET
在get请求时,传入参数形式是在url后面加?参数=值。多个参数用&

http://123.206.87.240:8002/get/?what=flag

4.web基础$_POST
POST请求没办法写在url里,这里用到hackbar插件
在这里插入图片描述5.矛盾
弱类型比较,当一个字符串与数字比较时,会把字符串转换成数字,具体是保留字母前的数字。字母前没数字就是0

http://123.206.87.240:8002/get/index1.php?num=1a

6.web3
查看源码拉到最下后发现一串编码

观察发现是unicode编码,用在线转换器转ASCII码后出现KEY
在这里插入图片描述7.域名解析
在本机host文件里添加解析规则
Windows是改C:\Windows\System32\drivers\etc里的host,在最后一行加入
123.206.87.240 flag.baidu.com
即可
8.速度要快
抓包发现有段注释
OK ,now you have to post the margin what you find
问题是找到margin 继续分析发现
在这里插入图片描述进行base64解密获得一串数字
写py脚本即可得到KEY{111dd62fcd377076be18a}
9.字符?正则?
用到正则表达式,一步一步匹配即可
在这里插入图片描述9.cookies欺骗
点开后发现url为http://123.206.87.240:8002/web11/index.php?line=&filename=a2V5cy50eHQ=
base64解码为keys.txt换成base64后的index.php,line为行数,遍历得到源代码。观察源代码构造cookie margin=margin 读keys.php即可

耀灵.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4154
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
BugkuCTF-web
Mccc_li的博客
04-05 437
args=GLOBALS GLOBAS:全局变量,然后var_dump打印出全部的变量的内容
BugKu CTF Web
qq_51110485的博客
06-28 1584
BugKu CTF Web滑稽计算器GETPOSTSimple_SSTI_1矛盾Simple_SSTI_2 滑稽 启动场景,打开链接,页面是一堆滑稽图片,查看网页源代码,flag在注释里面,去掉注释,提交即可。 计算器 打开链接,发现左边是一个加法运算,得到结果是119,但是输入框内只能输入1位数字,fn+f12(win10)打开审查代码,将输入框的maxlength改为3,输入结果,弹出flag。 GET 打开链接,访问页面,发现是一个简单赋值判断,意思是提交get类型 what=flag 会输出fl
BugkuCTF-WEB-WEB4
Jaychouzzk
11-16 374
  看看源代码就看看源代码,截取重要的一部分代码,这里都进行url编码了,进行解码 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e...
BugkuCTF web篇
weixin_45689999的博客
01-19 755
1.web2 先打开F12看看,很容易发现在注释里面有flag。 把flag后面内容输入即可。 2.计算器 发现是一道及其简单的计算题(要是手上没有计算器有些题比较难算的话,可以点击题目换一道蛤,但是怎么换答案都是两位数以上的),输入答案,发现只能输入一位数,打开F12 发现他可输入字符长度为1,双击修改成10等位数,再输入正确答案,flag就出现了。 3.web基础-GET变量参考以下网址了解_...
CTF_Web_docker:CTF_Web的码头工人
05-14
CTF_Web_dockerCTF中Web和Bin最大的区别在于,一旦比赛结束,Web选手就抓瞎了,没办法复现EXP。因此,打算收集整理一些自己做的Web题环境,方便复现。Enjoy it.
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
ctf_web_kmipn
05-06
用户用户密码 Sandiuser Sandiuser
一套简单的ctf_web源码环境.zip
10-02
一套简单的ctf_web源码环境。
BugkuCTF WEB解题记录 1-5
aap49042的博客
08-06 312
写了一部分的web题,算是把它最基础的一部分做了一遍,以后的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每五道题的题解以一篇文章的形式发表,感谢大家一直以来的支持和理解,共勉~~~ web2 打开链接http://120.24.86.145:8002/web2/ 看到的是一个充满滑稽脸的网页 ,这个题目很简单 我们直接利用F12查看...
CTF学习(入门):Bugku--web篇--矛盾
m0_45157173的博客
11-15 1427
CTF学习(入门):Bugku–web篇–矛盾 http://123.206.87.240:8002/get/index1.php 涉及操作:PHP黑魔法、特殊情况下的=号判定 进入目标网站: 解读代码: get一个num, 若num不是数字, 出一次num的值,后若num=1 出flag; 若num为数字则不进行任何操作 所以要输出flag,首先要num不是数字,然后又要num=1 这显然是矛盾的。 单纯使num=1或=a结果如下: 这就只能用num的一个特性: 对1加一个字符,如“1a”、“1-”,
CTF 刷题记录(一) 白云新闻搜索(手动与自动化SQL注入)
qq_29566629的博客
07-27 6107
题目 给出的靶机如下: 解题思路 首先判断这是考察哪个知识点,只有一个输入框,题目中又说到入侵,首先考虑sql注入,下面介绍手工和自动化注入两种方式 (1)手工注入 先随便输入几个值,发现只有在值等于“内容”时有返回结果,其他关键字均没有结果,但是会有会先如下: 用“ ’ ”来探测是否能接受特殊字符以及是否存在注入点,结果如图: 很显然,存在前台的js代码在控制输入的字符,找到这个网页的js代码,如下: 代码把所有的特殊字符都换成了空字符。 现在要做的就是就是先把这个网站的js代码停用,如下图:
BugKu ctf web前7题writeup
qq_39585393的博客
10-12 485
前几题都是入门题。。 web2 听说聪明的人都能找到答案。。一堆滑稽不停,直接f12进去看源码,找到flag KEY{Web-2-bugKssNNikls9100} 计算器题 发现只能输入一位数,按F12, 用选区器选取文本框,在maxlength那个把1改大,然后就能正常输入了 web基础get 直接在URL后面传参 what=flag web基础post POST请求没办法写在url里,需要用hackbar或者burp修改,格式就是在最下面Content里写 参数1=值&参数2=值 如果用ha
ctf-攻防世界-web:NewsCenter
一只菜鸟的博客
11-10 3300
打开环境,功能点只有一个查找新闻,猜测是sql注入 一.手工注入 从最基础的联合查询注入开始 1正常 1'报错 1' '正常 猜测为字符型注入,单引号闭合 1' order by 1,2,3 ;' 正常 1' order by 1,2,3,4 ;'报错 可见一共3列 (;将前后语句分开,'闭合后面的语句,也可以用#注释掉后面的语句) 1' union select 1,2,3;' 页面显示2和3,则2和3为显示...
buuctf web小结
qq_42551635的博客
04-25 4566
你传你*呢 .htaccess文件 AddType application/x-httpd-php xxx 本句话的作用是使该.htaccess文件所在目录及其子目录中的后缀为.xxx的文件被Apache当做php文件 一个傻逼错误 var/www/html 是网站根目录,也就等价于 http://55f19d33-bd47-48ac-9734-232c1632f237.node3.buuoj.cn 所以蚁剑里链接时不能重复输入 题解 上传.htaccess文件(注意绕过MIME) 然后上传图片马 ,o
BugkuCTF-WEB题本地管理员
am_03的博客
08-25 1742
基础知识: base64: 是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一类基于64个可打印字符来表示二进制数据的方法。 XFF伪造请求头: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原本的IP地址的HTTP请求头字段。 简单来说,XXF是告诉服务器当前请求者的最后ip的http请求头字段,通常可以直接通过修改http头里的X-Forwarded-For字段来仿造请求的最后ip。 打开场景: 为一个登录界面 尝试输
BugkuCTF——web篇writeup(持续更新)
热门推荐
过客璇璇的博客
03-23 6万+
BugkuCTF——web篇writeup 平台网址:http://ctf.bugku.com/ 平台首页: web2 网址链接:http://120.24.86.145:8002/web2/ 页面: 一看只有好多滑稽,分数也不太高,应该不是很难,F12打开开发者工具看一下 得到ctf:flag KEY{Web-2-bugKssNNikls9100} 文件上传测试 链...
bugkuctf-web(Writeup)
凝聚力安全团队
11-07 2738
目录web2计算器计算器 web2 题目: http://123.206.87.240:8002/web2/ Writeup: #查看页面源代码 ctrl + U F12 view-source: 计算器 题目: http://123.206.87.240:8002/yanzhengma/ Writeup: 正确答案是两位数字,maxlength限制了我们输入的字数,只允许输入1位。 由于前端代码在我们浏览器加载的,我们可以随意控制前端代码,修改maxlength大一些,再输入正确答案,即可获取f
BugkuCTF 字符?正则?
08-11
BugkuCTF 是一个CTF(Capture The Flag)比赛平台,提供了一系列的网络安全挑战题目供参赛者解决。在这个平台上,参赛者需要利用自己的技术和知识,寻找并利用目标系统中的漏洞,获取相应的flag来得分。 关于字符和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值