ctfshow web 9 md5

最新推荐文章于 2024-09-04 20:59:03 发布
最新推荐文章于 2024-09-04 20:59:03 发布
阅读量795 收藏
点赞数 2
分类专栏: ctfshow web 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46412682/article/details/107336900
版权
博客讲述了在CTFShow Web 9挑战中,通过尝试不同方法来绕过密码验证的过程。作者最初使用了万能密码如' or 1=1#,但未成功。后来发现直接输入特定MD5值‘ffifdyop’可以成功获取到Flag。
摘要由CSDN通过智能技术生成

ctfshow web 9 md5
一开始的页面
在这里插入图片描述随便输入一个密码,没反应知识把用户名和密码清空
在这里插入图片描述老规矩,用burpsuit抓包
在这里插入图片描述先用个万能密码, ’ or 1=1# 没反应看来有过滤
在这里插入图片描述测试了很多次还是不行,所以我网上找了,说直接输入密码:ffifdyop
就可以得到flag
在这里插入图片描述看下大佬们的解释

https://blog.csdn.net/weixin_45940434/article/details/104351695?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_re
最低0.47元/天 解锁文章
CTFshow php特性 web99
Kradress的博客
12-14 727
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 22:36:12 # @link: https://ctfer.com */ highlight_file(__FILE__); $allow = array(); //$allow
2024年网安最全ctfshow-WEB-web9( MD5加密漏洞绕过)_ctfshow web9
2401_84264610的博客
05-01 919
进去以后就是一个登录界面, 盲猜是个SQL注入漏洞首先, 我们访问根目录下的 robots.txt 文件robots.txt是一个文本文件,同时也是一个协议,规定了爬虫访问的规则( 哪些文件可以爬取,哪些文件不可以爬取)从robots.txt文件的内容中可以发现, 作者给了提示, index.phps文件应该就是此关卡的源码文件接下来, 我们访问 /index.phps 文件, 将其下载到本地, 从源码中可以发现, SQL中使用了md5()函数加密, 我们可以利用MD5加密漏洞来绕过。
ctfshow-WEB-web9( MD5加密漏洞绕过)
热门推荐
wangyuxiang946的博客
09-05 1万+
ctf.show WEB模块第9关是一个SQL注入漏洞, SQL中使用MD5进行加密, 推荐使用MD5加密漏洞绕过 进去以后就是一个登录界面, 盲猜是个SQL注入漏洞 首先, 我们访问根目录下的 robots.txt 文件 robots.txt是一个文本文件,同时也是一个协议,规定了爬虫访问的规则( 哪些文件可以爬取,哪些文件不可以爬取) 从robots.txt文件的内容中可以发现, 作者给了提示, index.phps文件应该就是此关卡的源码文件 接下来...
ctfshow web入门19
最新发布
m0_74125780的博客
09-04 216
首先我们根据提示,右键检查,发现用户名就是admin,而密码是一串字符串。我们将它输入,发现答案不对。发现这是一个AES加密,并且是CBC,iv和key都告诉我们了,而p是加密之后的结果,所以我们是需要解密。所以我们利用工具,这里我用的是随波逐流,将其解密,得到结果,这就是密码。
ctfshow-web9
aarong的博客
12-25 1795
如题又是登录框,这次尝试了前面几题方法都没方法做出来,只好换一种思路,先对这网站的后台进行扫描(这里使用了很多种扫描工具比如dirb、dirbbuster都太拉了,扫了个寂寞,最后还是使用了下面这个工具扫出来的) dirsearch扫描网站目录: dirsearch -u http://079eb967-1867-4064-85b7-ee3490881e14.challenge.ctf.show/ 扫描时间比较久,可以打一两把游戏再来看结果。扫描发现网站目录中存在robots.txt 打开robots.
CTF show WEB9
羽的博客
02-16 3955
题目地址https://ctf.show 尝试简单的万能密码以及过滤绕过,各种方法均没有回显。 查看网站源代码, 没有提示。 这时候猜测可能有其他页面,直接后台目录扫描,发现index.phps源代码文件。 发现有这么一行 $sql="select * from user where username ='admin' and password ='".md5($password,true)."'...
ctfshow web 9
trytowritecode的博客
10-20 585
分享一道很有意思的题目 前面好几道题都是sql注入的语句,这边也下意识想着是sql注入,然后测试了很多sql语句发现行不通 就觉得该换个思路 那就扫描下目录吧(我发现dirmap的字典有点拉胯不知道为什么)用dirmap啥都扫不出来于是就换了 dirsearch然后去扫扫出了一个robots.txt 然后就是访问这个地址给你一个下载链接我们直接打开得到 <?php $flag=""; $password=$_POST['password']; if(strlen($pass
2024年最新ctfshow-WEB-web9( MD5加密漏洞绕过)_ctfshow web9(1),网络安全架构师必备框架技能核心笔记
2401_84301227的博客
05-06 765
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
CTFshow之web5
世间繁华梦一出
05-07 2753
CTFshow——webweb5 web5
CTFshow web5
Lig_HossssT的博客
10-24 217
打开题目 显然是个有限制条件的md5弱碰撞 ctype_alpha检测是否为字母 is_numeric检测是否为数字 取v1=QNKCDZO v2=240610708 即可得到flag
2024年网络安全最全ctfshow-WEB-web5_ctfshow web5
2401_84281698的博客
05-03 563
ctf.show WEB模块第5关需要传递两个参数,一个字符串,一个数字,并且两个参数的md5值必须相同,我们可以利用md5的0e漏洞进行绕过0e绕过是指:0e开头的字符串在参与弱类型比较时,会被当做科学计数法,结果转换为0;我们只要传入两个md5值是以0e开头的参数,即可绕过md5加密,夺取flag页面中展示了部分源码,从源码中我们可以得知,想要夺旗需要通过GET请求传递两个参数v1和v2,并且参数v1必须是纯字母字符串,参数v2必须是数字或者数字字符串,并且两个参数的md5值必须相等。
刷题之旅第29站,CTFshow web9
cc菜的一批
02-17 861
感谢ctf show平台提供题目 在robots.txt 发现提示信息。 下载得到了index 文件源码。 <?php $flag=""; $password=$_POST['password']; if(strlen($password)>10){ die("password error"); } $sql="select * from use...
ctfshow-萌新-web9( 利用命令执行漏洞读取网站敏感文件)
wangyuxiang946的博客
09-10 1万+
ctf.show萌新模块 web9关,这一关考察的是命令执行漏洞的利用方式,使用PHP的命令执行函数执行系统命令,读取网站根目录下的配置文件,获取flag 页面中展示了部分源码,很明显是作者提示我们利用命令执行漏洞,并提示 flag 就在 config.php 文件中 提交的参数中必须包含 system,exec,highlight其中一个关键字,才能使用 eval()函数执行PHP代码,我们先用 system()执行系统命令,看能否正常使用 ?c=system('ls'...
CTF_ctfshow_web9_sql注入
weixin_54227009的博客
05-14 459
打开靶机: 手工注了一下,发现没有注入点,然后查看了一下robots.txt协议 提示了index.phps 访问一下 下载下来了源码: <?php $flag=""; $password=$_POST['password']; //密码长度<10 if(strlen($password)>10){ die("password error"); } ...
CTF.show:web9
qq_46230755的博客
01-15 617
打开题目发现有注入框,简单的注入测试后发现没有效果,扫描一下,发现存在robots.txt 进入robots.txt查看文件 下载后打开发现有源代码 <?php $flag=""; $password=$_POST['password']; if(strlen($password)>10){ die("password error"); } $sql="select * from user where username ='admin' and pass
ctfshow---萌新---web9
2201_75556700的博客
04-29 486
2、flag就在config.php中,需要以c为变量名传入一个参数,且参数是preg_match中的任意一个。4、接着读取config.php中的内容,并输出到页面中?
ctfshow-web5
HAI_WD的博客
08-05 359
首先看到代码,发现要求v1必须是字符串,v2必须是数字,并且对v1和v2的md5弱相等,也就是==,只比较字符串开头是否相等,那么就需要找到两个md5开头相等的即可。240610708的md5是0e462097431906509019562988736854,满足条件。那么QNKCDZO的md5是0e830400451993494058024219903391。代入参数即可获取flag。
CTFshow web5 解题思路
asdfghjklqwwe的博客
05-18 544
开始将代码誊到visicode,进行审计 审计结果: 一共分为四个if,满足四个条件就出现flag 第一个if的意思;判断两个值是否为空值,是空值就报错 第二个:顾名思义,如果v1不是纯字符就输出'v1 error'所以要让v1成为纯字符 第三个:如果v2 不是纯数字就返回'v2 error'是纯数字就返回TRUE 第四个:要使它们MD5(哈希)值相同返回flag 看完四个意思就可以解出来了 前三个不难,问题是将MD5值相同这里我们在下面寻找 可以经过观察只有1,2是纯数...
ctfshow web入门99
m0_73303597的博客
01-11 642
自用
CTFSHOW系列-web9(信息收集-swp泄露)
siu~
11-25 534
CTFSHOW系列解题思路
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值