web进阶

最新推荐文章于 2024-08-26 17:30:48 发布
最新推荐文章于 2024-08-26 17:30:48 发布
阅读量1.8k 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ngc2244/article/details/124176400
版权

1.baby_web

想想初始页面是哪个

baby_web

初始页面index.php

可是在URL后面加了index.php, 刷新后还是跳到1.php

这是被重定向了吗?

竟然进不去,那就用工具强制进去

GET 1.php改为        GET index.php

 好家伙,藏起来了,那我就看看传输的内容

falg:

flag{very_baby_web}

2.ics-06

云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。

 卧槽

数据没了,数据库问题?

3.Training-WWW-Robots

加后缀

fl0不是f10

 cyberpeace{a87753dd5bbabbb123aa36a13ecec261}

 4.PHP2

你能浏览这个网站吗?

 源码泄露

代码意思:

第一步,要使得"admin"===$_GET[id]不成立

第二步,经过$_GET[id] = urldecode($_GET[id])

使得$_GET[id] == "admin"成立。

故有对admin进行两次url编码

 

输入admin的两次url编码即可:

?id=%25%36%31%25%36%34%25%36%64%25%36%39%25%36%65

 

cyberpeace{9f70d3f48b5a8bef82a0eb5295f03cba} 

参考:

(1条消息) 攻防世界web进阶区全讲解(超详细的哇)!!(持续更新)_每天都要努力哇的博客-CSDN博客_攻防世界进阶https://blog.csdn.net/wo41ge/article/details/109011486?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2~default~CTRLIST~Rate-1.pc_relevant_antiscanv2&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2~default~CTRLIST~Rate-1.pc_relevant_antiscanv2&utm_relevant_index=2

ngc24
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [第二章 web进阶]SSRF Training1
sinat_41572027的博客
06-25 563
BUUCTF [第二章 web进阶]SSRF Training1 1.尝试输入正确URL,能正常跳转2.查看网页源码,发现challenge.php网页3.进入challenge.php,学习源码 4.构造payload 绕过parse_url() 5.成功绕过后,访问flag.php 获得flag 便捷方法:在url栏输入http://127.0.0.1/flag.php 即可成功访问...
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
攻防世界web进阶区记录(一)
weixin_52555162的博客
02-20 164
一、baby_web 打开题目我们可以发现初始页面应该是index.php,但是当我们GET传参的时候发现输入index.php它也会自动跳转到1.php,这下我们可以使用burp抓包试试 抓到返回包提示flag起来了,我们队数据包看看,发现flag在head头里面 成功找到flag: flag{very_baby_web} 二、Training-WWW-Robots 根据题目页面提示,这一题考查的还是robots.txt 访问该目录 ...
XCTF-攻防世界CTF平台-Web类——9、PHP2(.phps文件、url编码)
Onlyone_1314的博客
11-21 1551
先查看题目地址: 希望我们获得这个网站的权限,查看源代码也没有其他信息: 查看index页面: 之后尝试查看index.phps文件(.phps文件就是php的源代码文件,通常用于提供给访问者查看php代码): phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。其实,只要不用php等已经在服> 务器中注册过的MIME类型为文件即可,但为了国际通用,所以才用了phps文件类型。 它的
CTFHUB--WEB进阶
qq_49422880的博客
12-17 1325
WEB进阶前言LD_PRELOADShellShock 前言   大部分都是知识盲区,可能不会写的很好,大家凑合着看。 LD_PRELOAD   这个题目一开始就不是特别的懂,看了一些writeup之后才渐渐明白这题目所考察的知识点,下面就来讲讲吧。题目开始就提示我们要用LD_PRELOAD,这个是什么东西呢? <!DOCTYPE html> <html> <head> <title>CTFHub Bypass disable_function ——
攻防世界 web进阶区 shrine
m0_51395584的博客
06-22 398
攻防世界 web进阶区 shrine python的flask框架代码审计,以及相关漏洞利用
buuctf [第三章 web进阶]Python里的SSRF
qq_52671379的博客
04-21 3022
buuctf [第三章 web进阶]Python里的SSRF
BUUCTF n1book [第二章 web进阶]文件上传
nareku的博客
07-02 2438
花了一天多才搭好docker的环境,然后再来写这道只能说自己的环境也太香啦 不过这道题也花了一点点点时间琢磨打开题目,发现是一如既往的文件上传界面 习惯性抓个包,界面源码已经完全暴露了,太长了这里就不放了(根据以往的经验和参考其他的师傅的wp 小小地分析了一下) 这样我们上传的文件的路径就是 upload/随机值/上传的文件名首先我们先创建一个文件(不是文件夹!!),文件后缀随便,只要文件名长度满足18即可,这就成功将后缀完全覆盖了 将文件压缩成zip 在010Edtior中打开该压缩包 修改文件名
BUUCTF[第二章Web进阶]XSS闯关教程
DMXA的博客
11-01 656
攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程中,将恶意代码连同正常信息一起注入帖子的内容中。当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有XSS代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。存储型XSS又称为持久型XSS,攻击脚本将被永久的放在目标服务器的数据库或文件中,具有很高的隐蔽性。DOM型XSS其实是一种特殊的反射型XSS,它基于DOM文档对象模型的一种漏洞。(3)DOM型XSS。
GoWeb进阶课程讲义.rar
03-05
《GoWeb进阶课程讲义》是一份专为已经掌握Go语言基础的开发者设计的深入学习资料,旨在帮助他们提升在Web开发领域的专业技能。Go语言,又称Golang,是Google公司于2009年推出的开源编程语言,以其简洁、高效、并发...
web进阶开发视频
01-07
根据提供的文件信息,我们可以推断出这是一套关于Web进阶开发的视频教程,主要面向的是希望成为全栈工程师的学习者。接下来,我们将基于这些信息深入探讨与该视频相关的几个重要知识点。 ### 一、全栈工程师的角色...
buuctf [第二章 web进阶]SSRF Training
qq_52671379的博客
04-20 2024
buuctf [第二章 web进阶]SSRF Training
如何使用双重IP代理实现更安全的网络访问
最新发布
IPIPGO的博客
08-26 601
双重IP代理,顾名思义,就是在原有的代理IP基础上,再添加一层代理。这样,当你访问目标网站时,数据会先经过第一个代理服务器,再经过第二个代理服务器,最后到达目标网站。这种方式不仅能更好地保护你的隐私,还能有效防止IP被封禁。通过本文的介绍,相信你已经掌握了如何使用Java实现双重IP代理的方法。双重IP代理不仅能帮助我们更好地保护隐私,还能有效防止IP被封。在实际应用中,合理使用双重代理IP,将会使你的网络访问更加安全和高效。希望本文对你有所帮助,祝你在网络技术的道路上越走越远!t=N7T8。
四合一气体检测仪:全能守护,安全无忧的创新之选
2201_75812475的博客
08-26 443
它采用先进的传感器技术,能够快速响应并准确测量目标气体的浓度,即使在复杂多变的环境中也能保持稳定的性能。同时,设备内置的高精度算法能够智能分析数据,一旦检测到有害气体浓度超过预设的安全阈值,便会立即发出声光报警,甚至自动启动联动装置(如排风扇、切断阀等),以快的速度控制险情,确保人员安全。四合一气体检测仪,顾名思义,能够同时检测并显示四种不同有害气体的浓度,这通常包括可燃气体(如甲烷、丙烷等)、有毒气体(如一氧化碳、硫化氢)、氧气含量以及可能存在的其他特定有害气体(如二氧化碳、氨气等,具体依据型号而定)。
主机安全-网络攻击监测
关注网络安全、云原生安全
08-24 1405
本文介绍主机网络层面上的攻击场景,每种攻击场景举一个例子。监测方面以字节跳动的开源HIDS elkeid举例。针对网络攻击,通常可以考虑从以下方面做规则来源ip:针对异常ip,有访问即告警。访问端口:针对高危端口,有访问即告警。访问频率:针对过多的访问,在一段时间内超过频率即告警。例如,对同一端口或多个端口。
【宝马中国-注册/登录安全分析报告】
08-26 1567
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
物联网安全框架:构建安全互联的未来世界
A526847的博客
08-26 632
物联网安全框架的构建是一个复杂而系统的工程,需要设备制造商、软件开发商、服务提供商和用户等多方共同努力。通过加强数据加密、身份认证、人工智能和区块链等技术的应用,推动统一安全标准的制定和实施,我们可以构建一个安全、可靠、互联的未来世界。在这个过程中,每一个参与者的努力都至关重要,让我们携手共进,为物联网的健康发展贡献自己的力量。
buu ctf web进阶]ssti
08-23
在buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值