mango2727-CSDN博客

原创 buuctf web 1.warm up

打开链接，出现一张滑稽的大脸，其他什么都没有，点击F12查看源代码看代码提示了source.php来查看一下，就是在URL加上/source.php看见出现了一串代码来分析一下代码，看不懂，但是有一个和source.php相似的hint.php，来访问一下，出现如下看这段提示，flag在ffffllllaaaagggg里，很显然不能直接访问，读代码(echo等同于printf，去查一下php）前面几个if都输出you can't eye it一直看到最后，很明显要让代码执行到..

2021-12-05 12:16:02 208

原创江西省高校网络安全技能大赛初赛

web简单题funny game(小青蛙吃苍蝇)进入所给的链接出现一个小游戏12f查看源代码，吃到一千只才可得到flag肯定有直接得到的办法查看得到flag条件的那段代码把这段代码进行修改，把一千改成5然后开始游戏，吃几只苍蝇就可以得到flagweb 简单题EasyPHP进入所给的链接，看到where is flag?F12查看源代码...

2021-11-27 23:21:13 5372

原创 2021.9.25攻防新手xff_referer

先查看下xff和referer这位博主总结的很详细攻防世界(WEB) xff_referer_-栀蓝-的博客-CSDN博客再自己总结一遍打开场景如下图改一下网络设置，使用burpsuite进行伪装修改根据我们了解到的知识，sand to repeater,加上一个xff头X-Forwarded-For:123.123.123.123得到响应后看到一个网址利用referer将https://www.google.com添加运行得到响应如下图得到flag...

2021-09-25 23:20:58 187

原创 2021.9.25攻防新手11.command execution(命令执行)

查一下pinghttps://blog.csdn.net/lcx390549721/article/details/82781483再查一下wafWeb应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall，简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。知识点攻防世界-web-新手练习区(4)-command_execution_wyj_1...

2021-09-25 16:19:02 242

原创 2021.9.14攻防新手webshell

进入场景如下图据题目描述，百度一下php一句话，PHP一句话木马 - 随风而逝的白色相簿 - 博客园查到PHP一句话木马： 1. eval(): <?php @eval($_POST['hacker']); ?> eval函数将接受的字符串当做代码执行看到<....>里提示post使用HackBar点击F12,Load URL勾选post data再出现的文本框中输入shell=phpinfo()；出现如下图没找到fl...

2021-09-24 22:08:50 1211

原创 2021.9.24攻防新手simple php

首先看题目，简单php进入场景如下图看不懂，直接查了攻防世界题目：simple_php 详细思路_彼岸花苏陌的博客-CSDN博客这个回答超级详细直接懂得了。PHP的弱类型总结攻防世界题目：simple_php 详细思路_彼岸花苏陌的博客-CSDN博客这个回答也特别详细这里自己总结一下过程题目第一个if说如果a=0并且$a指a必须为真得到flag1第二个if说如果b为数字就会exit关闭第三个if说b大于1234得到flag2第一个if中if($a==0and$a)...

2021-09-24 21:15:19 1103

原创 2021-09-24攻防新手8.get post

据题考察到http的请求方法，通常的两种请求方法get和post点击进入场景出现如下图get方式：在URL后直接加/?变量。不同的变量用？隔开。提交请求后出现如下图post方法需要用到HackBar，了解到HackBar新版已实施收费，使用需要付费才能知道HackBar的license。查找解决办法HackBar破解方法（绕过收费版许可证密钥） - 付杰博客可以使用HackBar后，点击F12，将当前页面的网址复制黏贴到load URL,选择post date,出现一个...

2021-09-24 16:35:16 491

原创 2021.9.21攻防新手5.disabled-button

打开场景如下图按钮无法点击，点击F12查看器查看信息根据题目的disabled提示找到disabled字样，右键编辑http删去disabled后点击按钮出现flag

2021-09-21 16:26:14 100

原创 2021.9.21攻防新手4.cookie

Cookie，有时也用其复数形式Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。...

2021-09-21 15:48:50 73

原创 2021.9.21攻防新手3.backup

据题意及标题，查找备份文件，点开题目场景如下图查看背后文件的方法:在文件名后添加后缀.bar弹出备份文件，打开得到如下图：得到flag

2021-09-21 13:54:05 54

原创 2021-09-21攻防世界web新手试题1.view-source

攻防世界web新手试题1.view-source据题目可知flag可能与查看源代码相关查看代码源方法有三种：1.鼠标右键查看网页源代码2.按F12选择elements（n.元素，成分，基本部分）3.网页地址前加上view-source:场景打开，flag is not here.鼠标右键无法查看。采用方法2or3方法二点击F12出现上图画面，得到flag.方法三网页地址前加上view-source:得到上图画面，得到flag(view n.风景；...

2021-09-21 12:58:15 165

mango2727的博客