网络安全CTF之Web基础

已于 2022-09-22 20:54:11 修改
阅读量7k 收藏 62
点赞数 3
分类专栏: 网络与安全 文章标签: web安全 安全 CTF
于 2022-09-21 21:39:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25953411/article/details/126980398
版权

前言

Web类的考试,在CTF比赛中十分常见。本人从计算机专业转网络安全发展,属于半路出家,一知半解,如有总结不到位的地方,欢迎交流分享。

训练平台

攻防世界Web

正文

Web基础中,常见的考点如下:

1、源代码隐藏

打开网页,显示 FLAG is not here。
在这里插入图片描述

F12查看源代码,取得flag
在这里插入图片描述

2、GET和POST传参

GET和POST是 HTTP请求的两种基本方法。 主要的考点是GET参数通过URL传递,POST放在Request body中。
打开网页,要求如下:
在这里插入图片描述
通过在网页url后添加如下代码,完成要求

?a=1

这个是时候又要求b=2传参,通过在火狐调试台上传参,,完成要求
在这里插入图片描述
最后取得key
在这里插入图片描述

3、robots协议

robots协议用于防爬虫, 考点就是看你能不能找到该日志文档所在的位置。
如下图
在这里插入图片描述
把php贴到url中,通过get请求拿到flag

4、备份文件

考点是 源码泄露 1
网站运维人员都会备份,常见的备份格式有很多。
基础题常考的格式文件就是.bak

在这里插入图片描述

5、Cookie

缓存,F12调试,会有意外收获。
基础题考察你细不细致
从网络请求中发现请求cookie.php
在这里插入图片描述
然后,我们通过前面讲的 get传参到URL中,观察响应头request拿到flag。

参考文献

  1. 常见源码泄露 ↩︎

晓梦林
关注
  • 3
    点赞
  • 62
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
字节--旋转魔方
wolfGuiDao的博客
06-14 1292
字节–旋转魔方 文章目录字节--旋转魔方一、题目描述二、分析三、代码 一、题目描述 二阶魔方又叫小魔方,是222的立方形结构。每一面都有4个块,共有24个块。每次操作可以将任意一面逆时针或者顺时针旋转90°,如将上面逆时针旋转90°操作如下。 Nero在小魔方上做了一些改动,用数字替换每个块上面的颜色,称之为数字魔方。魔方上每一面的优美度就是这个面上4个数字的乘积,而魔方的总优美度就是6个面优美度总和。 现在Nero有一个数字魔方,他想知道这个魔方在操作不超过5次的前提下能达到的最大优美度是多少。 魔方展
网络安全攻防大赛ctf题目
03-09
网络安全攻防大赛CTF(Capture The Flag)是一种流行的竞赛形式,旨在提升参赛者的网络安全技能,包括漏洞挖掘、密码学、取证分析、网络嗅探等多个领域。这类比赛通常分为多个环节,如逆向工程、Web安全、密码学、二...
CTF----Web真零基础入门
B_cecretary的博客
01-17 2万+
前置知识: TCP/IP体系结构(IP和端口): IP是什么:是计算机在互联网上的唯一标识(坐标,代号),用于在互联网中寻找计算机。 访问网站时:域名会通过DNS(解析服务)解析成IP。 所以,互通的前提条件就是双方都能找到对方的IP地址。 内网(局域网)IP和公网(互联网)IP: 内网IP:路由以内的网络,可以连接互联网,但是互联网无法直接连接内网(需要端口映射) 如何判断自己的电脑是内网还是公网: --在本地电脑命令行输入jipconfig,ifconfig(Linux,macos)查看
网络安全最新CTF-WEB_ctf代码,系列篇
最新发布
2401_84132685的博客
05-10 956
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长! parse_url()函数函数") parse_url()函数:把URL按协议,POST头(www.baidu.com),路径,查询目标等进行解析——只需要校验h
CTF Web方向考点总结
qq_41513009的博客
09-20 1万+
ctf web考点总结
CTF基础知识及web
m0_60484735的博客
04-21 7750
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录CTF基础知识一、CTF简介二、CTF赛事介绍三、CTF竞赛模式1.解题模式(Jeopardy)2.攻防模式(Attack-Defense)3.混合模式(Mix)四、CTF竞赛内容国内外著名赛事1、国际知名CTF赛事2、国内知名CTF赛事五、如何学习CTF1、分析赛题2、常规操作3、入门知识推荐书籍 CTF基础知识 一、CTF简介 CTF(Capture The Flag)夺旗比赛,在网络安全领域中指的是网络安全技术人员之间进行.
CTF——web个人总结
recover517的博客
05-28 1万+
包含个人总结的解题思路、注入思路、文件包含思路、源码审计思路等
最全CTF Web题思路总结(更新ing)
热门推荐
yjprolus的博客
02-12 4万+
个人向CTF Web题思路总结笔记
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
网络安全CTF比赛工具集(整合版)
01-04
涵盖在线工具以及其他好用的工具包, 在线工具:导航型站点,CTF大集合。 CTF工具包:包里有CTF相关的各种工具,包括逆向,解密,WEB,密码学等等,相当有用,可以方便地准备各种CTF比赛。
国科大web安全中期CTF.pdf
11-22
一、Web安全基础知识 在开始之前,让我们先了解一些基本概念。Web安全是指保护Web应用程序免受恶意攻击和未经授权的访问的安全措施。常见的Web安全威胁包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。 二...
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
04-22
"河南省网络安全高校战队联盟CTF训练营-web文件上传第一期" 这个标题揭示了本次训练的主题,主要聚焦于网络安全领域中的一项重要技能——Web文件上传漏洞的利用与防御。CTF(Capture The Flag)是网络安全竞赛的一种...
CTFWEB基础
qq_53058639的博客
03-17 3648
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
CTFWeb题目的各种基础的思路-----入门篇十分的详细
m0_64815693的博客
09-13 2万+
想学习CTF-web这里给你一个思路,给你一个方向
【安全攻防知识-7】CTFweb(1)
qq_26579613的博客
06-01 4253
ctf-web题型总结
CTF-Web入门12题
Harris-H的博客
09-07 1376
CTF-Web入门12题 1.View_Source 就是如何查看源代码。 Sol 2.robots 爬虫协议 如果robots.txt 不是在根目录下,可以用dirsearch 暴力扫。 git clone https://github.com/maurosoria/dirsearch.git cd dirsearch python dirsearch.py -u http://111.200.241.244:59862/ -e * 3.backup 4.cookie 考查如何利用F1
Bugku CTF-web4 POST型传参
weixin_44023403的博客
04-18 3651
前言:最近开始接触bugku,感觉适合新人培养兴趣。自己在学习的时候写个笔记,督促自己多去学习和巩固知识。如果文章和代码有表述不当之处,还请大佬不吝赐教。 Bugku CTF-web4 POST型传参知识积累解题总结 知识积累 HTTP的POST请求:向指定的资源提交要被处理的数据。 HTTP的POST请求方式:把提交的数据放在HTTP包的Body中。 解题 查看PHP代码,发现可用POST类型的HTTP来请求参数,构造报文头来传参 $what=$_POSTI'what'];//读取参数what
ctf web 思维导图
12-18
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web领域涉及到了网页应用程序的漏洞挖掘和利用。下面是CTF Web思维导图的简要解释: CTF Web思维导图主要分为三个方面:Web漏洞类型、漏洞利用技术和解题方法。 Web漏洞类型包括:注入漏洞(如SQL注入、命令注入)、跨站脚本漏洞(XSS)、跨站请求伪造漏洞(CSRF)、文件上传漏洞、路径遍历漏洞等。这些漏洞常见于Web应用程序的开发不规范或配置不当,攻击者可以通过利用这些漏洞来获取无授权的访问或者控制目标系统。 漏洞利用技术主要包括:代码注入(如SQL注入、远程命令执行)、会话劫持与干扰(如会话劫持、会话劫持预防、会话干扰攻击)、文件包含与遍历、信息泄露利用(如敏感信息泄露、漏洞利用)、中间人攻击、点击劫持等。这些技术是攻击者在发现漏洞后利用漏洞实施攻击的具体方法。 解题方法主要包括:寻找目标站点、分析目标站点、漏洞检测与利用、数据包截获与分析、Webshell的利用与部署、绕过访问控制(如绕过IP限制、用户认证绕过)、漏洞修复与防御等。这些方法是CTF比赛中参赛者通过解题来获取Flag的具体步骤。 综上所述,CTF Web思维导图涵盖了Web漏洞类型、漏洞利用技术和解题方法。掌握这些知识和技能能够帮助参赛者更好地分析和利用Web漏洞,从而在CTF比赛中取得优异的成绩。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晓梦林

都看到这里了,支持一下作者呗~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值