Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下

已于 2022-12-08 11:54:01 修改
阅读量622 收藏 2
点赞数 2
分类专栏: Bugku CTF Web 文章标签: 安全
于 2022-09-02 11:31:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64558270/article/details/126657824
版权

目录

滑稽

计算器

GET

POST

矛盾

alert

你必须让他停下

滑稽

启动靶机

f12 查看源码

拿到flag                     flag{88285ac123749b3b038fde909f68c72f}

计算器

启动靶机,让我们输入28+26的结果,在输入框中输入54,发现只能输入5,应该是限制了输入,f12查看

把maxlength的值改成2 

在输入框中输入54,点击验证

拿到flag                     flag{262387cf9fcf4531c916c2a878530aff} 

GET

启动靶机,审计代码,应该是get传参

直接在payload后面加上:

/?what=flag

 

拿到flag                     flag{7934e978cfd8a685cd5a0f613ec31aee}

POST

启动靶机,审计代码,应该是POST传参

打开hackbar,点击POST,写入:

what=flag

拿到flag                flag{e2a2f3c92d5a40eaac795e5893b88e7f}  

矛盾

启动靶机,代码审计

 拿到flag需要满足两个if语句,第一个!is_numeric()函数指num不能是数字或数字字符串,其二就是$num==1成立。

思路,直接构造局恒成立的语句,比如1=1这种(既满足不全是数字,也满足结果为1)

构造payload:

/num=1=1

 拿到flag     flag{cb3de7ab0dcfe322133617ab7ae35acc} 

alert

启动靶机,发现是一个弹窗,点击确定,又一个弹窗,f12查看源码

 感觉最后一行是flag,复制到url在线解码工具中

拿到flag                  flag{c97067253f959b421dbc1801dd5d39c8} 

你必须让他停下

启动靶机,发现页面不断刷新,启用burp,随便抓个包发到Repeater中

提示flag就在这里,我们多点几次send

拿到flag                flag{39a85a0f2bbf9f6487a76afead0e97b7} 

WmVicmE=
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BugKu CTF web 滑稽 解题思路
m0_73734159的博客
10-12 756
BugKu CTF web 滑稽 解题思路
Bugku-web滑稽
weixin_73625393的博客
01-21 457
2.按"F12"快捷键查看页面源代码,按”Ctrl+U"也可以看页面源代码。3.flag值就在页面源代码中。
CTF计算器
最新发布
qq_74263993的博客
04-06 108
这个题目让你输入验证码,又给你限制长度。直接找到js源码,得到flag。
BUGKU CTF——WEB基础 {GET,POST}
lulu001128的博客
11-28 341
BUGKU CTF——WEB基础 {GET,POST}解题过程
bugku CTF——计算器
qq_28147861的博客
04-08 1211
平台:https://ctf.bugku.com 地址:http://123.206.87.240:8002/yanzhengma/ 查看源代码: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional....
CTF-Bugku-Web$_GET && $_POST基础
fzykn06的博客
03-22 988
第一次在Bugku有点抓狂,挺多方法不会使用,导致做题很慢,哪怕是简单的题目都挺解,以后要多熟悉这些方法。首先先讲讲一些简单的签到题,十分的基础的题目。 web 2 http://123.206.87.240:8002/web2/ 这是一道有趣的签到题,答案只要在源码中就能找到,但是如果没想到找源码的话就有点麻烦,因为它是一个动态图,越看越晕。 按F12查看源码 就能找到flag啦~ 计算器 h...
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
CTF,全称Capture The Flag...而Web解题,则是CTF比赛中的一种重要类型。 在CTF Web解题中,我们的目标是找到隐藏在网站中的Flag。这些Flag就像宝藏一样,藏在网站的各个角落,只有找到它们,我们才能获得比赛的胜利。
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
BugkuCTF-Web 前八题
weixin_41782574的博客
11-22 521
web2 打开题目发现全是越来越快的滑稽笑脸,并没有很明显的提示,所以打开F12看源码,用快捷键ctrl+F来搜索Flag,在源码中轻松找到Flag: 计算器 打开题目发现要求求两个二位数之和且和必然为三位数,但结果输出框只能输出一位数字,这意味html源码中input的maxlen限制成了一位,将一位改为三位再输出正确答案即可获得Flag。 web基础$_GET 考察php语言的基础用法,get在url上面获得数据,较为不安全,这里的php代码要求我们输入what=flag的数据即可根据p..
ctfbugku——计算器
weixin_40980428的博客
03-22 3858
看到此界面先打开链接,打开后如下图所示这难道是简单的输入运算结果吗?我们输入答案95却发现只能输入一位数;然后我们打开源代码看看是哪出了问题原来是限制了字符串输入长度(maxlength="1"),现在我们将它改为2,然后返回刚才的验证页面输入答案95,点击验证。这时flag就弹出来了,是不是很简单呢,可是小白现在只学会了这个...
BugkuCTF-WEB题GET和POST
am_03的博客
08-25 541
GET 开启场景: 比较简单的get,构造payload?what=flag,得到flag POST 简单post,Firefox打开,F12弹出hackbar插件,添加post/what=flag,请求得到flag
web2滑稽writeup
东曜说
03-27 368
进入题目查看源(进入开发者模式)点击元素查看HTML
BUGKU点击一百万次(两种方法)
W_seventeen的博客
12-07 446
方法一 老规矩f12,查看源码 <span id="flag"></span> if(clicks >= 1000000){ var form = $('<form action="" method="post">' + '<input type="text" name="click...
bugku必须让他停下
rommel的博客
07-31 2336
进到界面,就是一直在闪屏,所以果断想到用burpsuite抓包,然后便能能到flag为flag{dummy_game_1s_s0_popular}
ctf xss利用_一道XSS题目分析
weixin_39960147的博客
01-14 1193
目录0x00 介绍题目地址:https://challenge.intigriti.io/题目的要求是绕过CSP实现XSS,执行alert(document.domain)。0x01 解决页面中加载了个script.js:varhash=document.location.hash.substr(1);if(hash){displayReason(hash);}document.getEle...
python绘画滑稽
03-27
Python可以使用各种库来进行绘画,其中一个常用的库是turtle库。turtle库提供了一种简单的方式来绘制图形,包括滑稽表情。下面是一个使用turtle库绘制滑稽表情的示例代码: ```python import turtle # 创建画布和画笔 canvas = turtle.Screen() pen = turtle.Turtle() # 绘制脸部 pen.penup() pen.goto(0, -100) pen.pendown() pen.circle(100) # 绘制眼睛 pen.penup() pen.goto(-40, 40) pen.pendown() pen.circle(20) pen.penup() pen.goto(40, 40) pen.pendown() pen.circle(20) # 绘制嘴巴 pen.penup() pen.goto(-60, -30) pen.pendown() pen.setheading(-60) pen.circle(80, 120) # 绘制笑脸 pen.penup() pen.goto(-10, 80) pen.pendown() pen.setheading(-60) pen.circle(10, 120) # 隐藏画笔 pen.hideturtle() # 关闭画布 canvas.exitonclick() ``` 这段代码使用turtle库创建了一个画布和一个画笔,然后通过一系列的绘制命令来绘制滑稽表情的各个部分,包括脸部、眼睛、嘴巴和笑脸。最后,通过点击画布来关闭程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WmVicmE=

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值