ctfshow_web入门篇刷题笔记

最新推荐文章于 2024-08-09 15:45:49 发布
最新推荐文章于 2024-08-09 15:45:49 发布
阅读量2.3k 收藏
点赞数
文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59396535/article/details/120803348
版权

2021/10/16

web1

直接F12出flag

web2

题目提示查看无法查看源代码,我们按F12无反应尝试用鼠标打开源代码(笔者用的是firefox)依次点击打开菜单——更多工具——web开发者工具,此时出flag。

web3

按F12打开网络进行抓包点头文件出flag

web4 

题目提示robots,则猜想网站有robots.txt所以在url写http://ba78e536-1324-4bf3-80dc-5281e49cbaf9.challenge.ctf.show/robots.txt得到flag的网址同样http://ba78e536-1324-4bf3-80dc-5281e49cbaf9.challenge.ctf.show/flagishere.txt即得到flag

web5

题目中提示会php泄露于是url上输入http://e8c9e1b4-c70a-4e07-ac94-dcee03b42964.challenge.ctf.show/index.phps下载用txt打开得到flag

web6

题目中说解压源码说明源码在当前目录,常见的源码包位置是www.zip,下载解压然后用txt打开index.php得到flag

web7

题目中提示

版本控制很重要,但不要部署到生产环境更重要。

想到Git是目前世界上最先进的分布式版本控制系统故想到.git泄露所以url加上/.git得到flag

web8

还有分布式版本泄露第二种.svn操作过程同上。得到flag

web9

考察vim缓存信息泄露,直接访问index.php.swp,下载后用记事本打开,即可得到flag

八棱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow 萌新web题解
qq_41788704的博客
10-09 1292
web1 十六进制 0x38e web2 异或 200^800 按位与 992|8 web3 加减乘除都可以 --1000 负负得正 web4 id=1 or 1=1# id=id# 上面是显示所有的数据,flag自然也会在里面 ‘1000’ MySQL会自动转换类型 web5 异或 144^888 web6 取反 ~~1000 web7 二进制 0b1111101000 web8 rm -rf /* 删库跑路?? web9 可以直接执行命令 system('cat config.php
ctfshow刷题笔记web篇)
Gygert的博客
03-15 341
CTFshow web刷题笔记 感觉ctfshow的web比buu友好多了,buu前三题直接劝退 目录CTFshow web刷题笔记PHPctfshow web3 PHP ctfshow web3 题目提示是php伪协议,然后文件含有漏洞 我们在加一句url=php://input发送post请求然后抓个包 放包后显示了文件 然后直接cat文件即可 得到flag ...
ctfshow web做题笔记
weixin_57011346的博客
05-14 150
爆表名:id=1/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema=database()#------id=1/**/or/**/1=1/**/order/**/by/**/3# 正常回显。------id=1/**/or/**/1=1/**/order/**/by/**/4# 回显错误。
ctfshow-反序列化关卡详解分析
FreyZzz的博客
05-09 998
--254 class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this->username===$u&am
CTF刷题网站汇总(包括本地可以自己搭建的)(1)
qq_51550750的博客
01-29 1万+
CTF刷题网站汇总(包括本地可以自己搭建的) CTF刷题平台汇总(欢迎各位师傅们补充) 第一个当然是CTFshow啦!https://ctf.show/ 攻防世界 https://adworld.xctf.org.cn/ Bugku https://ctf.bugku.com/ 论剑场 https://new.bugku.com/ Buuctf https://buuoj.cn/ Jarvisoj https://www.jarvisoj.com/ 墨者学院 https://www.mozhe.cn/ 看雪
CTFSHOW-WEB入门 writeup
abtgu的博客
09-29 1819
web1 题目: 开发注释未及时删除 解题思路: 右键查看源代码即可得到flag。 web2 题目: js前台拦截 === 无效操作 解题思路: 火狐浏览器禁止JavaScript之后,右键查看源代码,得到flag。 web3 题目: 没思路的时候抓个包看看,可能会有意外收获 解题思路: burp抓包,查看响应头,得到flag。 web4 题目: 解题思路: 根据提示访问http://a03708c9-ff09-457d-9688-676ccb7997ce.chall.ctf.show/robots.txt
ctfshow web 解题笔记
weixin_59657131的博客
10-09 178
菜鸟ctf成长之路
labuladong的算法秘籍+刷题笔记V2.0
09-17
《labuladong的算法秘籍+刷题笔记V2.0》是针对计算机程序员面试和技能提升的一份宝贵资源,特别关注于刷题、算法和数据结构的学习。这套资料包含两部分:《labuladong的刷题笔记V2.0(力扣版).pdf》和《labuladong的...
2020届_笔试面试_C++刷题笔记.zip
01-20
这份名为"2020届_笔试面试_C++刷题笔记.zip"的压缩包文件,显然是为准备C++编程语言的笔试和面试而精心编排的资料集合。它旨在帮助C++开发者,尤其是应届毕业生,提升技能,顺利通过大厂的选拔过程。以下是基于这个...
谷歌大佬刷题笔记.zip
04-25
谷歌大佬刷题笔记
LeetCode刷题笔记.rar
07-05
《LeetCode刷题笔记》是针对LeetCode这个在线编程挑战平台的个人学习心得与总结,主要涵盖数据结构和算法两大核心领域。LeetCode是一个全球知名的编程训练网站,它提供了丰富的编程题目,帮助开发者提升编程技能,...
javalruleetcode-LeetCode_algorithm:LeetCode刷题
06-29
笔记: :locked: 意味着你需要从 Leetcode 购买一本书来解开这个问题) # 标题 源代码 文章 困难 1 简单的 2 中等的 3 中等的 4 难的 5 中等的 6 中等的 7 简单的 8 中等的 9 简单的 10 难的 11 中等的 12 中等的 ...
CTFSHOW-WEB详解
qq_49422880的博客
05-25 4827
CTFSHOW-WEB详解一、WEB13--文件上传二、WEB-红包题第二弹 一、WEB13–文件上传   开始的界面就是文件上传,确定方向为文件上传漏洞分析,尝试上传文件,我上传的第一个文件是一个文本文件很小只有9个字节,就上传成功了直接,还以为会按往常一样出现绝对路径又或者提示只能上传别的格式文件,然后我们通过绕过,接着使用蚁剑连接直接看文件拿到flag。   然而。。。。。。   简单的信息泄露例子,看完绝对不亏.   事情没有我们想的那么简单,我上传一个webshell的时候,发现内容超过了大小,又
CTFWEB·通过CTFshow的例题来学习信息收集类题目的题型及对应做法
qq_54502707的博客
12-18 2053
大家好,这里是KOKO师傅~ WEB方向最简单的莫过于信息收集类型题目,我们以CTFshow的相关题目作为例题对这一类型的题目进行一个模块的针对练习!
ctf show-web入门 php特性篇部分题解
volcano的博客
02-24 3517
ctfshowphp特性preg_match()intval()web96(路径问题)web98web99(in_array弱类型比较)in_array()web100var_dump()函数web101web102-103hex2bin()函数substr() 函数call_user_func()函数web104、106web105(双$$变量覆盖)web107(parse_str变量覆盖)parse_str()Parse_str()函数引起的变量覆盖漏洞web108(%00截断)ereg()函数strr
ctfshow-web入门 文件上传篇部分题解
volcano的博客
03-06 6665
ctfshow文件上传web151-152web153(.user.ini绕过).user.iniweb154-155(短标签绕过+.user.ini绕过)短标签绕过web156web157-159web160(日志包含绕过)web161web162-163(session文件包含+条件竞争)条件竞争web164(png图片二次渲染绕过)web165(jpg图片二次渲染绕过)web166web167(.htaccess) 文件上传 web151-152 这两题步骤是一样的,先写一个一句话: <?ph
ctfshow(刷题经历)
qq_62046696的博客
06-26 1670
1、打开以后看见filename=后面感觉是一个base64编码,接着解码一下,发现等于keys.txt,通常的源文件应该是index.php2、对index.php进行base64编码并作为新的filename的参数3、查看源文件,其里line变量起到控制行数的作用: http://114.67.246.176:13972/index.php?line=1&filename=aW5kZXgucGhw发现爆出了第一行隐含的代码,4、编写python脚本,查看全部源码 这样代码就出来了下图:5、分析PH
mysql源码安装
热门推荐
zengzehui的专栏
10-03 68万+
1、安装依赖            在安装mysql之前需要安装的依赖有make、bison、gcc-c++、cmake、ncurses            以上下载地址如下:             make编译器下载地址:http://www.gnu.org/software/make/             bison下载地址:http://www.gnu.org/softwar
网络安全知识渗透测试
最新发布
m0_66268916的博客
08-09 589
渗透测试是一种模拟网络攻击,用于识别漏洞并制定规避防御措施的策略。笔测试还有助于评估组织的合规性、提高员工对安全协议的认识、评估事件响应计划的有效性并确保业务连续性。渗透测试的第一步是收集有关目标网络的信息,了解网络拓扑、主机信息、服务信息、用户账户等,以便制定针对性的攻击策略。成功攻破目标系统后,需要进行后渗透测试,巩固攻击成果,并获取更多信息。根据信息收集和漏洞扫描的结果,选择合适的攻击方法,对目标网络进行渗透测试。完成渗透测试后,需要对测试结果进行分析,评估内网的整体安全状况。
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值