XCTF1-web ics-06 POST&GET inget

已于 2022-11-16 19:55:15 修改
阅读量222 收藏
点赞数
分类专栏: CTF练习记录 文章标签: web安全
于 2022-11-16 17:51:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/orchid_sea/article/details/127889463
版权

ics-06

题目描述

云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
在这里插入图片描述

进入场景

发现只有 报表中心 有内容
在这里插入图片描述该位置提示存在flag
在这里插入图片描述
查看源码和响应没有flag,修改任何日期也没有响应。
发现存在GET参数id,尝试爆破。
在这里插入图片描述
爆破出来,当id=2333时,长度不同
在这里插入图片描述
响应中存在flag

get_post

题目描述

X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?
在这里插入图片描述

进入场景

提示从GET方式注入
在这里插入图片描述
传入参数a=1后,提示继续POST提交参数
在这里插入图片描述
使用HackBar工具提交POST参数在这里插入图片描述得到flag

inget

进入场景

提示为id参数注入
在这里插入图片描述
尝试GET注入,测试注入点时,可以得到flag
在这里插入图片描述

777sea
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界XCTFweb入门题知识点、进阶提高题Writeup
AugenStern的博客
08-21 776
WriteUpXCTF-Web新手入门区view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶区 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统和
XCTF 攻防世界 Web题的基本知识点
weixin_43456810的博客
11-28 2151
XCTF 攻防世界 Web题的基本知识点和解题思路 大多数情况下,robots协议指的就是robots.txt index.php的备份文件:/index.php.bak 页面中如果出现了不能按的按钮,可能是代码中设置了disable参数,将网页源代码中的disable=""删除或者改为false(注意:safari浏览器可能无法方便的直接修改源代码,可以换为firefox浏览器) 遇到php的源代码,注重分析,如果只是简短的几行代码,并且有类似于$a, $b这样的变量,可以直接在url的后面添加上 /?
XCTF getit
YenKoc的博客
01-15 647
一.查壳 是linux的文件。没加壳 二.拖入ida 分析一下逻辑,发现就是t的值就是flag。 写个exp就出来了。 三.exp分享 s='c61b68366edeb7bdce3c6820314b7498' v6=0 t=0x53 v3=1 flag='' i=0 while v6<len(s): if(v6&1): v3=1 else: ...
XCTF中IgniteMe
recordliu的博客
01-13 450
总结知识: 关于异或如下 位运算符家族中,最常用的,某过于异或运算符。 异或运算符是指: 参与运算的两个值,如果两个相应位相同,则结果为0,否则为1。 即:0^ 0=0, 1^ 0=1, 0^ 1=1, 1^1=0 例如:10100001^ 00010001=10110000 0^ 0=0,0^ 1=1 可理解为:0异或任何数,其结果=任何数 1^ 0=1,1^ 1=0 可理解为: 1异或任何数,...
XCTF攻防世界_Web进阶区001
FAFU小宋的博客
10-30 158
XCTF_Web_高手进阶区baby_webTraining-WWW-RobotsWeb_php_unserializephp_rce baby_web (1)按照提示,初始界面想到index.php,再次请求index.php后仍是1.php(被重定向了)。F12打开开发者模式查看“网络”模块,查看返回包发现确实有index.php,并且其中的location参数被设置为了1.php,同时发现flag (2)也可以访问index.php,用Burp抓包,在响应包中发现flag Training-
XCTF-RE】新手练习区-getit
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/aba4sn
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
攻防世界XCTF-WEB入门全通关
qq_35664104的博客
08-23 1741
为了更好的体验,请见我的---->个人博客 XCTFweb块入门区非常简单,适合一些刚解除安全或者对网络安全常识比较了解的同学在安全搞累之余娱乐娱乐。 其主要考察下面几点: 基本的PHP、Python、JS语法 基本的代理BurpSuite使用 基本的HTTP请求交互过程 基本的安全知识(Owasp top10) 1.View_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 想当然的这道题是考验一个查看网页前端源代码的常识,除了鼠标右键查看
xctf_web区题解(入门区1--6)
HelloWorld's blog
12-13 2744
xctf_web区题解(新手区1—6) ps:说明一下,这次这个题解可能是比较是比较low的,因为前一段时间在玩学校的vhdl来实现eda的大作业,花了我一段比较长的时间,另外之前一段时间再刷密码学的相关知识,也没这么去了解这个web这个方向的,对于小组内的blog我也就只能写写题解了,以后可能做了一些项目会写一些其他有意思的东西 1.view_source 据题目描述,这道题的flag应该是在网页的源代码中的,但是鼠标右键点不了。那么这里有其他的解决方法,我在这里主要说两个解决方法:1.就是在网址上直接输
XCTF IgniteMe
YenKoc的博客
03-22 422
一.查壳 结论: 1.用vc++编译的。 2.无壳,毕竟是一分的题 二.点击运行,发现不是爆破,而是找出注册机,汇编功力还在提升中,只能拖入ida来静态调试了 具体的见注释: 二.1点击进入关键函数 注意!这里有个坑, 将125转换成字符, 说明最后一个字符是}这点,可能会被很多人给忽视了,三分逆向,七分猜2333 三.见注释 四.脚本上: v7="GONDPHyGjPEKruv{{...
IgniteMe 逆向算法
qq_41071646的博客
01-06 1230
这个题 就更水了  没有什么挑战。。。。 大概就是这样 然后点进那个函数 然后 在看sub_4013c0 这个函数  然后就可以  逆向算法就可以得到flag #include&lt;stdio.h&gt; #include&lt;string.h&gt; #include&lt;algorithm&gt; #include&lt;vector&gt; #include&lt...
xctf新手区(附详细过程)
qq_39670065的博客
09-15 2459
攻防世界
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 6717
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
攻防世界--fileclude && fileinclude && inget && easytornado
08-25 2165
file2中包含数据file_get_contents。直接访问flag.php只显示WRONG WAY!说明flag应该在flag.php的注释里。file2使用php伪协议传数据。两个参数file1和file2。
攻防世界Web(难度1)
weixin_59453707的博客
08-30 421
将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串将字符串转换为状态信息PHP内的几个特殊魔术方法__construct():当对象创建(new)时会自动调用,但在unserialize()时是不会自动调用的(构造函数)__destruct():当对象操作执行完毕后自动执行destruct()函数的代码。...
xctf攻防世界 Web高手进阶区 leaking
l8947943的博客
01-01 1638
1. 进入环境,查看内容,给了一堆代码 看到基本的代码格式,还有其中var { VM } = require(“vm2”);,这是Node.js的代码。其中也给了一句注释: /* Orange is so kind so he put the flag here. But if you can guess correctly :P */ eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\"
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值