CTFshow 每日一练

最新推荐文章于 2024-10-11 21:15:26 发布
最新推荐文章于 2024-10-11 21:15:26 发布
阅读量96 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73867210/article/details/128512818
版权
文章通过三个部分展示了在Web安全场景下如何找到隐藏信息。在web1和web2中,通过查看页面源码获取flag;在web3中,利用BurpSuite抓包并使用Repeater工具揭示flag。
摘要由CSDN通过智能技术生成

一、web1

打开给的链接得到如图

838825ed75bf4d5586fe074dfd8db1c4.png

 按Ctrl+u得到源码如图

b51927041c18497f8fffcf41b535fbd5.png

 可以看到有flag

二、web2

打开链接看到

6a32c8fca8864a639b37516c4f96e3e7.jpg

 按Ctrl+u查看源码

1705ebec01e447a39f703d10d7021114.jpg

 得到flag

三、web3

打开题目链接

aeac819cb18144f59dd2f49ef30035fb.jpg

 查看源码

e66be54e4f54412e986c8db4044f9e31.jpg

 这时可以发现题目链接有提示

a483b2e0668c4c87be26bc6d3a881c30.jpg

 打开bp抓包尝试抓一下包

50490baa87b746cfa8fecfe4a8af9a09.jpg

 发送到Repeater然后执行一下

6073beb723e04338b0c586e66d796998.jpg

 得到flag

orange-snow
关注
ctfshow
m0_73867210的博客
02-20 155
一、web89 看了下源码,是要传一个num,但是0-9都被过滤了 有两函数不认识搜一下 然后在前面见过preg_match是一个正则匹配式,又去了解了一下,数字被过滤了,那可以考虑一下数组绕过(看的别人的,hhh) 随便传一个数组得到flag 二、web90 分析代码,和刚才那个差不多,但是出现了一个===,还有intval函数的用法还是不太会,再查一下 传入八进制得到flag 试一下字母,也可以得
ctfshow 吃瓜杯 web 部分题
ccfly1012的博客
09-08 823
目录 热身 shellme shellme_Revenge 热身 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:53:59 # @link: https://ctfer.com ​ */ ​ include("flag.php"); highli
[RoarCTF 2019]Easy Java(web.xml)
weixin_45577185的博客
07-30 240
wp链接 WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-INF/src/:源码目录,按照包名结
ctfshow-吃鸡杯-Crypto-Writeup
mxx307的博客
07-12 1415
吃鸡杯部分wpCryptoCop! Run!!题目思路才艺表演海那边漂来的漂流瓶群主说要出简单的题目大家把这题想简单一点The Dedication of Suspect MMisc信守着承诺 Crypto Cop! Run!! 题目 from Crypto.Util.number import * from flag import flag n = 1 << 8 p = getPrime(n) print(p) P.<t> = PolynomialRing(Zmod(p)) f
ctfshow 每日一练
m0_73867210的博客
03-17 90
代码啥的不会自己写就只能搜别的大佬的。
web每日一练
xydsg的博客
07-22 1149
扫到备份文件login.php register.php user.php 通过注册界面的union select 构造sql语句 脚本 web15 Fishman 扫到备份文件member.php中发现漏洞点当查询返回的用户名为空且密码错误时,进行四次setcookie操作,当查询返回的用户名为不为空时,进行两次setcookie操作利用这个差异,就已经可以实现布尔盲注了。 源码 在反序列化的时候会自动触发这个类中的wakeup方法,看见关键代码 测试代码 正则 还有两个点date函数可以转义 是 PH
【Ctfer训练计划】——(一)
Demo不是emo的博客
12-19 8757
Ctf每日刷题,带你从ctf小白到竞赛大牛,关注我来跟我一起训练吧,每日分享自己做的觉得比较有意义的题目,加油!
【Ctfer训练计划】——(八)
热门推荐
Demo不是emo的博客
12-31 1万+
ctfer每日训练中
【Ctfer训练计划】——(六)
Demo不是emo的博客
12-29 1万+
ctfer养成计划
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow 36D练手赛 web writeup
ashMOB的博客
10-30 1221
ctfshow 36D练手赛 web writeup 不知所措.jpg 对萌新友好 一进入就看到提示 php $file must has test 提示传参中需要包含test ?file=test试试 回显中少了$file must has test字样,且变成了testphp,尝试访问test.php 回显为flag_not_here 说明存在此文件,返回主页尝试传参?file=test. 回显为 test.php flag_not_here 猜测为文件包含,尝试包含主页源码 传参?file=php:/
【网络安全】将两个 Self-XSS 转变为可利用的 XSS
最新发布
等风来
10-11 50
一段时间后,我发现在任何字段中输入任何错误的内容,例如在Phone Number字段中输入 LingLongSec 然后提交表单,便可直接实现XSS,而不发生重定向。那么如何实现真实的危害呢?在提交表单时,我拦截了请求,再将该POST请求修改为GET请求,我发现服务器能够正确解析该请求,现在只需将一些参数置空即可。
《网络安全:数字时代的坚实护盾》
一名资深Java工程师的技术分享
10-10 366
在当今高度数字化的时代,网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全,更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
10-11 1206
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-11 775
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
ctfshow是一个什么样的网站
05-11
CTFShow是一个在线CTF(Capture the Flag)比赛平台,旨在提供一个安全、合法、有趣和有挑战的环境,让安全爱好者和专业人士能够在其中进行竞争和学习,提高他们的技能。CTFShow平台提供了多种类型的CTF比赛,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值