-攻防世界-web基础题

最新推荐文章于 2022-10-31 22:04:05 发布
最新推荐文章于 2022-10-31 22:04:05 发布
阅读量840 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oonoonoo/article/details/104342938
版权
本文分析了攻防世界中的web基础题目,涉及PHP代码审计和JavaScript知识点。在simple_php部分,通过条件判断分析,得出b=1235a时可获取flag。而在webshell部分,介绍了Webshell的概念及其在网络安全威胁中的角色,提到了利用方式和常见漏洞类型。
摘要由CSDN通过智能技术生成

simple_php

题目分析:

在这里插入图片描述

代码审计:

发现代码中给出了两个条件,把flag拆分到两个条件中。
条件1:
if($a==0 and $a){
echo $flag1;
}
说明:参数a=0且a为真才能得到半个flag.

条件2:
if(is_numeric($b)){
exit();
}
说明:is_numeric()函数可以参考https://www.runoob.com/php/php-is_numeric-function.html
如果b为数字则返回,即b不能为数字。

条件3:
if($b>1234){
echo $flag2;
}
说明:b要求大于1234才能得到另外半个flag.

条件2要求b不为数字条件3要求大于1234,此问题涉及到php弱类型比较。(可以上网搜搜)
在本题中弱类型比较时,1234=1234a。所以b=1235a时既不为数字同时也大于1234.

在后面补充

/index.php?a=%220%22&b=1235a

得到flag。

最低0.47元/天 解锁文章
monody611
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界:simple_php
m0_53629868的博客
03-09 261
打开后发现出现代码,先审代码 if($a==0 and $a){ echo $flag1; } 从这里可知,a=0或者$a时为真,会返回flag1 is_numeric($b) 此函数的意思为b为数字或数字字符串 if(is_numeric($b)){ exit(); 此代码的意思时,当b为数字或数字字符串时,就退出 if($b>1234){ echo $flag2; } 此代码的意思为当b的值>1234时,返回flag2 所以直接访问 htt
2024年网络安全最新CTF_WP-攻防世界web解(1),2024年最新这原因我服了(1)
最新发布
2401_84972893的博客
05-12 498
map_addr=re.match(r"([a-z0-9]+)-([a-z0-9]+) rw",i) #正则匹配rw可读可写内存区域,()起到分组的作用。map_list=map_list.text.split(‘\n’) #根据字符串"\n"进行分割。// 字符替换,将每个字符的 ASCII 值减 1。// Base64 解码。// ROT13 解密。// 解密加密字符串。
攻防世界web练习
Zero_Monsoon的博客
01-17 360
1.view_source 查看网页源代码的方式有4种,分别是:1、鼠标右击会看到”查看源代码“,这个网页的源代码就出现在你眼前了;2、可以使用快捷Ctrl+U来查看源码;3、在地址栏前面加上view-source,如view-source:https://www.baidu.com ; 4、浏览器的设置菜单框中,找到“更多工具”,然后再找开发者工具f12,也可以查看网页源代码。 2.robots协议 robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编...
攻防世界web基础笔记
qq_51352283的博客
06-13 698
网安小白做攻防世界web基础笔记心得
攻防世界web基础知识点
h0ld1rs的博客
08-08 228
文章目录robots协议知识点解法个人理解ping命令查找 robots协议 知识点 robots协议 robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。 解法 直接打开是空白的,根据robots可知我们访问 http://220.249.52.133:56928/r
攻防世界web新手第一次归纳总结
Theseus_sky的博客
05-24 616
攻防世界web新手第一次归纳总结 view_source 这里用到一个查看网页源代码的方式,F12查看器 查看网页源代码方式:1.F12,打开查看器 2.鼠标右键查看 robots 目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 根据目描述应该和robots协议有关,直接打开robots.txt 发现: User-agent: * Disallow: Disallow: f1ag_1s_h3re.php 所以根据提示打开f1ag_1s_h3
攻防世界miss-01,杂项misc太湖杯
11-01
"攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问,该问分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
CTF-入门练习
10-30
CTF是一种网络安全竞赛,源自现实世界中的军事演习,现在广泛应用于网络安全教育和技能评估。参赛者需要通过解密、逆向工程、漏洞利用等各种技术手段,攻破安全防护,获取特定的目标信息,即“旗帜”(Flag)。这个...
黑客攻防技术宝典:Web实战篇(第2版)1
08-03
总之,《黑客攻防技术宝典:Web实战篇(第2版)》是一本全面且实用的教程,它不仅涵盖了Web应用程序安全的基础知识,还提供了最新的攻防策略。无论是对于想要提升个人技能的网络安全专业人士,还是希望确保其Web应用...
网络攻防竞赛预赛理论
11-10
### 网络攻防竞赛预赛理论知识点解析 #### 一、SSL协议的工作位置 **知识点:** - **定义:**SSL (Secure Sockets Layer) 安全套接层协议是一种用于提供互联网通信安全的标准协议。 - **工作位置:**SSL协议位于...
计算机应用基础.pdf
10-28
【计算机应用基础.pdf】 这份资料主要涵盖了计算机应用的基础知识,特别是Microsoft Word 2010的使用技巧。以下是对部分目涉及知识点的详细解释: 1. 标尺的使用:标尺是Word中用于控制段落和文本格式的重要...
攻防世界——---web新手练习区
m0_53314778的博客
12-13 542
攻防世界———web新手练习区 1)cookie 目 X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗?’ 解 进入网页 访问 http://220.249.52.134:43825/cookie.php 得到 2.检查元素————网络————响应头中找到了Flag,如下图所示: 总结知识点: Cookie,有时也用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)。 2)disa
攻防世界web新手001-6
热门推荐
qq_53144040的博客
10-19 1万+
web新手001-6001view_source002robots003backup004cookie005disabled_button006weak_auth 001view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开目地址发现 查看源码得到flag 一点知识:查看源代码的三种方式: 1.点击右键,选择查看网页源代码 2. 按下F12键,选择elements 3. 网页地址栏前面加上入view-source 002robots 目描
2021.9.24攻防新手simple php
mango2727的博客
09-24 1092
首先看目,简单php进入场景如下图 看不懂,直接查了攻防世界目:simple_php 详细思路_彼岸花苏陌的博客-CSDN博客这个回答超级详细直接懂得了。 PHP的弱类型总结攻防世界目:simple_php 详细思路_彼岸花苏陌的博客-CSDN博客这个回答也特别详细 这里自己总结一下过程 目第一个if说如果a=0并且$a指a必须为真得到flag1 第二个if说如果b为数字就会exit关闭 第三个if说b大于1234得到flag2 第一个if中 if($a==0and$a)...
寒假WEB训练-1
DUOan0216的博客
04-06 506
因为自己寒假的时候搞了个博客 就很少在这更新了。 就把寒假的一部分放在这纪念纪念吧 本次练习的是i春秋的目 爆破 本次的php代码为 <?php include "flag.php"; $a =@$_REQUEST['hello']; if(!preg_match('/^\w*$/'.$a)){ die('ERROR'); } eval("var_dump($$a);"); sho...
攻防世界web新手-simple_php
yuanxu8877的博客
10-31 390
攻防世界web新手-simple_php,php弱类型比较
php安全特性函数以及绕过方法
goddemon
12-08 2791
①is_numeric() 作用:检测变量是否为数字或数字字符串 绕方法:16进制会被判断为数字 %00即空格会被判断为非数字–>即直接跳过检测了 绕过方法 如 绕过方法 password=404%00–>即可绕过
攻防世界 web simple_php
CN天狼
11-21 859
打开就是一串代码,完全没有其他CTF那样有趣的封面 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numeric($b)){ exit(); } if($b>1234){ echo $flag2; } ?> 看代码: 要想得到flag1和2 要满足三个条
Web应用程序安全实战:黑客攻防技术解析
"《黑客攻防技术宝典:Web实战篇》是一本深入探讨Web应用程序安全的实战指南,由安全技术专家Dafydd Stuttard和Miroslav Pinto合著。本书旨在帮助读者理解和应对Web应用程序中的安全风险,提供渗透测试的详细步骤和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值