qsnctf -- 新手的登录

瑞名一色

已于 2023-04-24 12:48:11 修改

阅读量503

点赞数 2

文章标签： web安全 web

于 2023-04-13 09:41:52 首次发布

本文链接：https://blog.csdn.net/m0_72054784/article/details/130122758

版权

平台上提示管理员是admin

打开网页,网页提示了账号密码用户名为：user 密码为：password

f12打开网页源码没有发现什么有用信息

先打开bp登入抓包

发现dashboard.php的网页，先访问网页

访问越权，继续上一个包

cookie值发现username，把user改成admin，放包，得到flag

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

瑞名一色

关注关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
2
评论
qsnctf -- 新手的登录

qsnctf -- 新手的登入
复制链接

扫一扫

青少年qsnctf [登录试试] 攻略

小苏

11-30

1049

青少年CTF训练平台-Web-Easy-登录试试

qsnctf 帝国CMS01 wp

arcuied

11-11

527

qsnctf 帝国CMS01 wp

2 条评论您还未登录，请先登录后发表或查看评论

qsnctf

2301_79678604的博客

12-12

406

下载完安装包后，用kali虚拟机打开，解压之后直接利用strings口令。得到一串，之后通过查找flag得到flag。

WEB SSTI(qsnctf)

2301_76718200的博客

11-30

787

发现是SSTI模板注入使用fenjing工具自动化SSTI模板注入。发现没有没事用，干脆直接查看更目录下所以东西。cat查看flag发现没有显示出什么。ls /查看根目录下有什么。以下是我已经安装好了。

CVE-2018-18086

weixin_44770698的博客

03-21

489

CVE-2018-18086

青少年CTF平台刷题-mimikyu

WTT001的博客

05-27

307

熊曰：呋食食物嘍嗷洞出嗚有眠哮山囑眠拙住訴嗚囑肉拙既寶果動我笨會你出眠嚄寶冬食喜哞吖山噗食類囑出果你盜唬動取噔唬噤樣魚呦爾。然后 is_numeric 这个函数是检查变量是否为数值，过滤掉纯数字。Mimikyu是一个为新手快速入门CTF-Web开发的一款把靶场。我先是直接在URL框中inbex.php改index.php。构造b=123456a,得到全部flag。a==b，得到一部分的flag。把disable去掉，就可以点击了。F12打开就发现flag了。提示 cookie.php。

青少年CTF训练平台-WEB-部分wp

SwBack的博客

04-04

2355

扫描发现备份文件打开发现flag直接上传,然后获取flag木马地址,通过扫描目录发现。直接添加请求头user-agentt: zerodiumsystem(‘cat /flag’);连接之后,查找具有权限的命令根据提示直接发现flag 提示说明没有中文但是仍然错误,查看shadow,通过john破解密码用户名后有$y，则表明密码已使用 yescrypt 进行哈希处理指定format参数新手的登录使用提示的user账号登录之后抓包修改cookie为admin。发包，得到flag访问之后直接查看js

[青少年CTF]Web-CheckMe01-04 writeup by q1jun

ShangYaoPaiGu的博客

11-29

1846

在是科学计数的语法，0e后面不管多大都是0。那说明还可以通过日志来解析PHP语句。字符进行base64编码才能使。这里通过0e截断可以做到，因为。但是还是可以读取到文件，比如。这题把php伪协议过滤了。然后再通过文件包含漏洞访问。只能为数字，然后他们各自的。值如果想等就输出flag。还是文件包含题目，相比于。语句的http请求来写入。来拦截请求包，修改里面的。php伪协议可以查看到。

网络安全之初始访问阶段攻防手段（三）

子非渔

07-25

524

初始访问阶段攻防手段（SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计）以及使用场景。

微软蓝屏事件：网络安全的多维挑战与应对策略

sinner小屋

07-23

691

微软蓝屏事件，这一近期震动全球科技界的重大事件，起因于一次看似平常的软件更新。美国电脑安全技术公司“众击”发布的更新包中隐藏着一个致命的“缺陷”，这个缺陷如同潜伏的病毒，一旦被激活，便在全球范围内引发了连锁反应。近850万台设备，从个人电脑到关键行业的服务器，无一幸免地遭遇了系统崩溃，屏幕上只剩下一片冰冷的蓝色。这一事件不仅影响了日常办公，更是波及了航空、医疗、传媒等关键领域，造成了航班延误、医疗服务中断、信息传播受阻等一系列严重后果。

【网络安全】CrowdStrike 的 Falcon Sensor 软件导致 Linux 内核崩溃

par@ish的博客

07-22

1119

CrowdStrike的Falcon Sensor软件，上周导致大量Windows电脑出现蓝屏故障，现在还被发现Linux内核系统崩溃也与CrowdStrike有关。六月份，Red Hat警告其客户在使用版本为5.14.0-427.13.1.el9_4.x86_64的内核启动后，由Falcon Sensor进程引发的“Kernel panic”问题，影响了部分Red Hat Enterprise Linux 9.4用户。

网络安全相关竞赛比赛

黑战士的博客

07-18

797

湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接（2023版）关键字：比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”

如何保护你的网络安全？

m0_70655343的博客

07-15

1063

这项服务可以抵御复杂的网络威胁，即使在最强烈的攻击下也能保证您的网站服务如常，用户几乎无感知。此外，DDoS高防服务还具备网络应用程序防火墙（WAF），采用实时监控和机器学习来保护用户的资料，防止用户资料被盗，保护服务免遭未经授权的访问，降低个人数据泄露的风险，进而防止数字资产流失。为什么它这么重要呢？打个比方，这就像是你家车库的门开关出了问题，每次你按下按钮，车库门就不停地开关，直到电池耗尽。想象一下，你家的路由器被人利用来发起攻击，就像是你家的水龙头被打开，水不停地流向别人的房子，淹没了他们的院子。

WAF+API安全代表厂商｜瑞数信息入选IDC报告《生成式AI推动下的中国网络安全硬件市场现状及技术发展趋势》

科技云报道

07-25

530

目前，传统在Web应用安全网关等产品中的API防护功能已经不足以防护日益复杂的API攻击，API安全应站在全生命周期管理的角度，从API安全开发和部署（API测试等）开始，配合加密、身份认证、权限管控、API安全测试、检测、监测、威胁防护、威胁处理等能力来进行管理和控制。WAF可以作为硬件设备、企业软件、虚拟设备或公有云服务部署。从API的开发部署开始，融合静态应用安全测试、动态应用安全测试、API资产梳理、API鉴权认证、API检测监测、威胁管理的全生命周期防护解决方案，帮助用户一键解决API安全问题。

网络安全防线：黑龙江等级保护测评标准详解

waitaikong_的博客

07-21

510

黑龙江等保测评，即信息安全等级保护测评，是指网络系统运营、使用单位委托具有等级保护测评资质的测评机构，按照有关管理规范和技术标准，对处理特定应用的网络和信息系统进行安全技术测评和安全管理测评，以判断受测系统的技术和管理级别与所定安全等级要求的符合程度，并针对安全不符合项提出安全整改建议。

“微软蓝屏”事件暴露了网络安全哪些问题？

qq_35177516的博客

07-22

861

在当今数字化时代，网络已经成为我们生活和工作中不可或缺的一部分。然而，随着技术的飞速发展和网络应用的日益广泛，网络安全问题也日益凸显。近日，一次由微软视窗系统软件更新引发的全球性“微软蓝屏”事件，不仅成为科技领域的热点新闻，更是一次对全球 IT 基础设施韧性与安全性的深刻检验。

企业产品网络安全建设日志0725