CTF-show WEB入门--web7

最新推荐文章于 2024-05-06 11:24:21 发布
最新推荐文章于 2024-05-06 11:24:21 发布
阅读量544 收藏 5
点赞数 4
文章标签: 网络安全 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73912575/article/details/135300583
版权

今天来尝试完成CTF-show WEB入门--web7

打开这个界面我们可以看到题目提示为:“版本控制很重要,但不要部署到生产环境更重要”

其实小伙伴就可以猜到这大概与下面这些有关系:

但是我们还是从头开始解:

我们打开题目链接,可以看到如下界面;

老样子我们先打开开发者模式,查看网页源代码:

发现并没有什么有价值的东西,根据题目的提示我们可以想到来扫描目录试试,于是我借用这一款扫描工具:

我们在test.py中输入我们想要扫描的域名,如下图所示:

然后保存,我们再在当前页面打开命令行,如下图所示:

打开命令行模式之后我们输入 python test.py  如下图所示:

之后按下回车就让他开始扫描吧!

过了几分钟如下图所示:

我们可以在扫描目录最底下发现一些状态码和长度不正常的域名,如下图所示:

最后我们挨个访问,最后在  域名/.git/  中发现了隐藏起来的flag,如下图所示:

最后我们再提交这题就攻破啦!!!

小伙伴们快去练习吧。

is-Rain
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
ctfshow-WEB-web7
wangyuxiang946的博客
08-22 1万+
ctf.show WEB模块第7关是一个SQL注入漏洞,注入点是数值型注入,源码中过滤了空格,我们可以使用括号()或者注释/**/来代替空格 页面中有一个文章列表,随便点一个 从url地址栏中可以看到,页面通过文章的id值来查询文章内容,我们可以考虑SQL注入漏洞 首先判断注入点,输入以下payload,使SQL恒成立 1/**/and/**/1 可以看到,页面正常显示 在输入以下payload,使SQL恒不成立 1/**/and/**/0 可以...
CTF show----web 解题笔记(web7~web10)
weixin_45908624的博客
01-05 598
ctfshow web7-web10
2024年最全ctfshow-WEB-web7_ctfshow web7
2401_84300255的博客
05-02 275
从url地址栏中可以看到,页面通过文章的id值来查询文章内容,我们可以考虑SQL注入漏洞首先判断注入点,输入以下payload,使SQL恒成立可以看到,页面正常显示在输入以下payload,使SQL恒不成立可以看到,页面空显示由此可以判断页面存在SQL注入,注入点为,页面中有显示位,可以尝试进行脱库先来判断显示位,此处id传一个-1,由于id通常不为负数,后端根据id查询不到内容,就只能展示联合查询的结果,从而帮助我们判断字段显示的位置。
CTFshow-web-web7
qq_68581192的博客
10-11 125
尝试联合注入,先来判断显示位,此处id传一个-1,由于id通常不为负数,后端根据id查询不到内容,就只能展示联合查询的结果,从而帮助我们判断字段显示的位置,输入。发现只有一个flag字段,查询flag表中的flag字段,输入。点击第一篇,发现url中有id=1,可能存在sql注入漏洞。当前使用的数据库是web7,再查询当前数据库的所有表,输入。发现一个flag表,再查询flag表中的所有字段,输入。尝试输入id=1 and 1=1#,发现有错误。回显位置为2,查询当前使用的数据库,输入。
ctfshow web入门——web7
m0_74093152的博客
01-29 329
ctfshowweb入门——web7
ctfshow-web
qq_43618536的博客
07-15 683
ctfshow-web
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-web学习大纲
01-30
CTF-web学习大纲
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctfshow web7
m0_63253040的博客
04-03 333
首先进入环境 随便点一篇文章 在url上可以看见?id=1存在注入,测试发现存在空格过滤,用/**/绕过,然后这里是整数型注入 如何判断是字符型注入还是整形注入 然后就是正常的爆数据库一步一步来 ...
ctfshow-web7
aarong的博客
12-22 1251
如题所示: 随意点入一个文章,在URL中发现有?id=x这样参数,因此判断有SQL注入点: 跟上题一样这题也是过滤空格的 把空格改成/**/,发现没有过滤 随后就是把?id=-1,联合查询就行了 http://63d80c8a-317e-4b8f-a2a0-0af74c123b1b.challenge.ctf.show/index.php/?id=-1/**/union/**/select/**/1,database(),3 得到数据库为web7 爆表得到三张表flag、page、user 这里
CTFShow web1-7——CTFWEB模块解题思路
热门推荐
wangyuxiang946的博客
09-15 1万+
CTFShow WEB模块详细通关教程, 受篇幅所限, 通关教程分为上下两部分, 第一部分为1-7关, 第二部分为8-14关, 本篇博客为1-7关的通关教程, 从解题思路和所用到的知识点两个方面进行讲解 CTFShow web1-7关详细教程解题思路CTFShow web签到题CTFShow web2CTFShow web3CTFShow web4CTFShow web5CTFShow web6CTFShow web7知识点php://input伪协议日志注入MD5加密漏洞-0e绕过过滤空格的绕过方式 .
CTFShow web1-7——CTFWEB模块解题思路_ctfshow web题目解析
2401_83974142的博客
04-17 764
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。第六关是一个SQL注入漏洞, 注入类型为数值型注入, 页面有回显, 推荐使用联合注入, 源码中过滤了空格, 可以使用注释/**/ 或 括号() 来绕过。第七关也是一个SQL注入漏洞, 注入点是数值型注入, 页面有回显, 推荐使用联合注入, 源码中过滤了空格, 可以使用注释/**/ 或 括号() 来绕过。
2024年最新ctfshow-WEB-web7_ctfshow web7,网络安全推送技术解析
最新发布
2401_84300859的博客
05-06 791
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
ctfshow web系列
RealIiikun的博客
04-07 945
源代码要求v1为为字母,v2为数字,并且v1与v2的md5值相同md5漏洞介绍:PHP在处理字符串时,它把每一个以“0E”开头的哈希值都解释为0所以只要v1与v2的md5值以0E开头即可。常见的0e开头的MD5和原值QNKCDZO240610708。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值