Bugku:web web4

最新推荐文章于 2024-07-30 20:51:00 发布
最新推荐文章于 2024-07-30 20:51:00 发布
阅读量596 收藏
点赞数
分类专栏: CTF Bugku web 文章标签: 安全 安全漏洞 数据安全 信息安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26961571/article/details/106916063
版权
CTF 同时被 3 个专栏收录
95 篇文章 4 订阅
订阅专栏
Bugku
94 篇文章 2 订阅
订阅专栏
web
32 篇文章 2 订阅
订阅专栏

这道题没什么提示,就是让你看看源代码。我是谁,我当然知道要看啦!!

 

打开网址之后。

 

 

遇事不决先鼓捣,按了一下Submit就出现了让我“在好好看看”。

 

这个应该是“再”吧??“在”???我心中不免疑惑,难道说这里面也另有玄机?

 

打开源代码。

 

 

哇,一串的URL编码字符,我觉得肯定要先转换。

所以心急火燎打开在线转换。

 

 

哇,马上识破了套路。

 

p1 = function checkSubmit(){var a=document.getElementById("password");if("undefined"!=typeof a){if("67d709b2bp2 = aa648cf6e87a7114f1"==a.value)return!0;alert("Error");a.focus();return!1}}document.getElementById("levelQuest").onsubmit=checkSubmit;eval(p1 + 54aa2 + p2)

 

所以说67d709b2b54aa2aa648cf6e87a7114f1就是需要输入空白框里面的东西了,可是这里竟然有坑,这个格式必须是unescape,否则就算是一样的代码进去也出不来。我表示卡了好久。

 

 

 

flag顺利出来了,可是他坑啊,难怪80分了,感觉不是特别难,看来之后遇到这种坑,也许并不是自己的方法有问题,是他的问题,要相信自己。

 

另外,他的错别字...是真的错别字!!!不是给你的提示啊!!

 

你懂得。快来一起努力吧!!~~


 

 

酥酥糖学习
关注
专栏目录
BUGKU-WEB
wojiushilsy的博客
02-22 523
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
BugKu-web---程序员本地网站
MIGENGKING的博客
04-13 699
打开链接: 题目提示“本地访问!”,和“localhost”’ 因此用burpsuite抓包加上加上:X-Forwarded-For: 127.0.0.1 首先: X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 接着: 127.0.0.1是回送地址,指本地...
Bugku-web4
王嘟嘟的博客
10-08 1489
文章目录0x00 2018年10月7日23:02:570x01 标准部分flag0x02 加餐 0x00 2018年10月7日23:02:57 0x01 标准部分 首先来看下题目。 然后在firefox里打开这个链接。 题目提示说看源码,那就看一下源码。 firefox浏览器,F12 这里看到javascript有一些编码。 这些编码一看就知道有猫腻。 好吧,这些编码一看就知道是16进制的,...
BugkuWeb系列(持续更新~~~)
最新发布
m0_59151303的博客
07-30 237
打开环境在输入框输入答案发现只能输入一位数,那我们想到修改输入框内容长度,我们右击页面点击检查,找到输入框的代码修改长度为10。本题是POST传参,我们通过火狐浏览器的HackBar传入post参数,根据页面的代码我们传入一个what=flag。本题是GET传参,我们在url上传入参数,根据页面的代码我们传入一个what=flag,得到flag。我们右击页面点击检查,查看页面代码,得到flag。进入环境,出现一个弹窗,点击确实发现什么也没有。点击验证,弹出窗口,得到flag。打开环境,发现一段PHP代码。
WEB_web4
weixin_30367873的博客
02-10 182
题目链接:http://123.206.87.240:8002/web4/ 题解: 打开题目,看到一个登陆框 提示我们查看源代码,那就看看呗,于是打开源代码 将其提取出来,原来是一个php代码 不知道unescape()和escape()的意思,百度了下,原来是一种加密解密函数,因此,将变量p1带入进行解密,在线解密链接:https://escape.supfree.net/...
bugku web4
weixin_30311605的博客
07-15 118
Bugku web4 有提示嘿嘿这么强。提示看代码:肯定不止那么简单。 那就看看,果然有问题,这么一串是啥东西。 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%4...
bugku-web-滑稽
weixin_46168073的博客
11-11 1543
Bugku-web-滑稽解析过程。 一、启动场景 首先,我们启动场景。(点击启动)。 选择OK,注册bugku会送金币,不用担心。 百度bugku就行 二、进入环境 然后我们进入环境。 点击超链接进入环境。 三、做题思路 可以看到是一堆滑稽,而且会越来越快的出现。做为一个新手,我们直接按F12,检查HTML代码。 可以看到flag就藏在其中。 复制flag,<!--flag{73a8b9807007d4d0cbead418e02add9...
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
bugku题:web4、输入密码查看flag、点击一百万次
qq_43624349的博客
06-26 1207
web4 进入这道题发现有“看看源代码?”这个提示,然后我们就看看源代码 我们发现了一些URL编码和一些语句,虽然没有学过这些语句,但还是可以看出什么的,这很明显是p1后面的编码加上它下面第二行的那一小串编码,再加上p2后面的编码进行URL解码,解出来是这样的 这依旧没学过,不过中间出来了一串字符,我们用这串字符输入到题目下面的方框中,惊奇的发现flag出来了。 输入密码查看flag ...
bugkuctf解题-WEB
05-04
4. 文件包含漏洞:当Web应用接受外部文件路径并将其加载执行时,攻击者可能通过构造特定的URL来包含服务器上的任意文件,甚至远程文件。防御策略包括限制文件包含源,避免使用动态文件名。 5. 命令注入:通过在...
Bugku web(1—35)
weixin_30376163的博客
11-15 538
1.web2 打开网页: 哈哈,其实按下F12你就会发现flag。 2.计算器 打开网页,只是让你输入计算结果,但是发现只能输入一个数字,这时按下F12,修改一下参数,使之可以输入多个数字,修改后输入结果就拿到flag了。 3.web基础$_GET 30 打开网页,审计一下大概是要让其得到一个what=flag,于是在URL后面加上?what=fl...
BugkuCTF-WEB-WEB4
Jaychouzzk
11-16 386
  看看源代码就看看源代码,截取重要的一部分代码,这里都进行url编码了,进行解码 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e...
web4——bugku
weixin_34195546的博客
07-15 368
刚刚做了bugku的题目,现在整理一下 写出解题思路,希望能够帮助到那些需要帮助的人 所有的wp都是以一题一篇的形式写出 主要是为了能够让读者更好的阅读以及查找, 希望你们不要责怪!!共勉!!! Challenge 1201 Solves web4 80 看看源代码吧 http://120.24.86.145:8002/web4/ ...
Bugku web4 $_post
weixin_44522540的博客
02-22 684
三、web4 $_post $what=$_POST['what']; //接受post过来的参数what,存到what里 echo $what; //打印 if($what=='flag') //如果值是flag echo 'flag{****}';// 打印flag 直接用hackbar(注意:复制flag容易多复制一个空格) ...
web4
xyx107的博客
10-11 320
http://120.24.86.145:8002/web4/ 提示“查看源代码” url解码 发现eval()里的加号没了,需要补上,p1,p2代入,猜测此函数的意思是把出现的P1,54aa2,p2加起来,67d709b2b54aa2aa648cf6e87a7114f1 输入得到flag ...
Bugku CTF杂项实战:远程木马、Web漏洞与神秘图片解析
2. **Web漏洞**:这一题考察的是Web安全防护的漏洞检测。通过Python脚本分析服务器的日志文件(access.log),查找特定模式(如"flag"关键字后面紧跟一个非法字符序列),然后解码获取机密信息。这涉及到HTTP协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

酥酥糖学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值