平时练习 ctf 解题报告 web类

最新推荐文章于 2024-05-18 17:12:14 发布
最新推荐文章于 2024-05-18 17:12:14 发布
阅读量1.6k 收藏 6
点赞数
分类专栏: ctf题目 文章标签: ctf解题报告
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30435981/article/details/81219313
版权

1.读文件

大大的空白网页就给出

去看源代码

发现有个php文件,在给的地址后面加上  /a/down.php?p=./1.txt

页面就一个 hello,源码也是hello,没有任何提示

我们试试将1改成flag,发现页面报错 (这里我是直接浏览器URL传的,用hackbar传值,记得关post)

此时我们想想为什么1.txt前面加上了./ 说不定是被过滤了

此时我们可以考虑返回上一级查看信息

发现flag文件,我们直接点进去

发现不行,我觉得这可能是这个题目的bug,也许是需要我们通过在down.php然后返回上级目录,然后再去访问flag.php才能访问到。

 

重新回到报错的网页,我们在p值后面加上 ../ 发现还是报错,

然后我们想到,一般的做题网站,我们直接访问flag文件不行,因为flag被过滤掉,我们可以试试双写,大小写,发现都是报错。

看来得用到这道题目独有的特征:  ./  被过滤,所以我们可以在flag中间加上, 变成fl./ag。

这是这道题目特有的,其他题目遇到这种情况可以试试我说的将flag大小写、双写什么的。

最低0.47元/天 解锁文章
白山茶i
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
在网络安全的领域里,CTF(Capture The Flag)竞赛已经成为了一种检验技能和提升知识的重要方式,特别是Web解题部分,它将理论与实践紧密结合,让参赛者在寻找隐藏的Flag中体验到黑客攻防的乐趣。为了在CTF Web解题...
人生第一场CTF解题报告(部分)
weixin_30568715的博客
11-24 174
解题报告 濮元杰部分: 王者归来: 120 场景 小王入职了一段时间,最近有点无聊。Web安全项目不多,白天看着其他项目组的同事忙得热火朝天,小王有点坐不住了,这也许是新人都会有的想法,乐于助人。想到这,小王一眼看到了隔壁的小丽,哎,IT界小丽绝对算得上是一位美女啦,于是小王凑了过去对小丽说:小丽,看你眉头紧锁的,需要本大侠帮忙吗?小丽转头看着小王,愣了足足有10秒,突然说:那,那好...
php文件在网站上不报错,CTF
weixin_29917533的博客
03-11 663
bugku Web WriteUp刚刚接触ctf没多久,做ctf-练习平台上的题目,有些新的题目,在网上没有找到对应的writeup,所以做了之后就想自己写一个,也顺便理理自己的思路。(没有太多经验…可能对有些题目的理解还不深刻…)签到题加群在公告里就可以看到flag值了。Web2F12,立马就看到flag的值了。文件上传测试题目说是要上传php文件,那我们先上传一个php文件,页面提示非图片文件...
CTF show----web 解题笔记(web签到~web6)
最新发布
baimao__Ch的博客
05-18 999
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
WEB-CTF 条件竞争
iamsongyu的博客
10-24 6158
如何来形容这个型的问题呢,就像是幼儿园发糖吃,每个人只能拿一块,但是如果你跟别人一起再拿一次老师也没办法分辨,毕竟一群小朋友老师也没办法分辨手和对应的人。 关于部分的Burpsuite使用的知识,在前面的https://blog.csdn.net/iamsongyu/article/details/82989478中已经讲了,就不在赘述   这是一个好文章,从上边摘抄和借鉴了不少 htt...
ctf夺旗赛
m0_63017769的博客
11-12 5725
好久以前做过的ctf
BUUCTF----飞机大战,解题思路
2201_75556700的博客
12-03 171
4.我们把代理打开,我们刷新一下浏览器界面,这时候,工具包就有抓包到内容了。1.我们打开kali自带的抓包工具。5.我们看到代码里面有这个,所以。以下操作是在kali里面完成的。3.先把代理关了,然后输入网址。
CTF杂项解题思路探究.zip
02-26
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种技术挑战来获取虚拟旗帜,这些挑战涵盖了密码学、逆向工程、Web安全、取证分析等多个领域。"CTF杂项解题思路探究"通常指的是那些无法归到特定领域...
writeup:CTF的不同形式的报告
03-09
1. **CTF挑战**:CTF挑战是网络安全竞赛的核心部分,它们通常设计为一系列难题,涉及密码学、Web安全、逆向工程、取证分析等多个领域。参与者需要通过解决这些挑战来获取“旗子”,即特定的字符串或代码,以此来得分...
CTF-入门练习
10-30
这个“CTF-入门练习题”很可能包含了一系列这样的挑战,旨在帮助初学者提升在网络安全领域的技能。 【网络攻防】 网络攻防是CTF中的核心部分,涉及攻击者与防御者的对抗。攻击者可能试图寻找系统漏洞,进行SQL注入...
001-CTF web题型解题技巧-第一课 解题思路.pdf
07-09
在网络安全领域,Capture The Flag(CTF)是一种流行的竞赛形式,其中...不断练习,熟悉各工具,积累实战经验,是提升CTF web题型解题能力的关键。在实战中,灵活运用各种技巧,才能在紧张刺激的CTF比赛中脱颖而出。
SHCTF 2023 新生赛 Web 题解
m0_63138919的博客
10-30 1396
本文为SHCTF 2023新生赛的Web全部题解 供大家学习参考 有问题可以指出
i春秋ctf夺旗赛(第四季)writeup——web
jammny
01-06 1734
前言: 这次的比赛一共有六道web题,接下我会详细介绍解题的步骤以及思路,以便让小白和没有接触过这题型的小伙伴们能读懂。 第一题,nani 1、打开网页啥都没有,内容一片空白啥。这时候我们应该按F12去查看网页源码。往往很多提示和关键性信息都藏在这里。如图所示: 2、得到提示:./index.php?file=show.php ;看到关键字file,下意识想会不会存在文件包含呢?不急,我们先去访...
BugkuCTF训练题 WEB 头等舱
Georgeid的博客
02-11 389
头等舱 这题就是一个坑,打开页面发现空白一片,源代码也没有什么信息 遇到这种情况,第一步就是抓包。启动burpsuite! 抓来的包发送到repeater即可获得flag ...
BugKuCTF(CTF-练习平台)——WEB-Web3
Ifish的博客
02-25 5323
打开网址 查看源码 将该转义序列,放到html文件 即得flag
NewStarCTF2023week4-依旧是空白(snow隐写)
Welcome To Myon'Blog !
10-26 1718
结合给了密码,那么很可能就是snow隐写了,SNOW 隐写又被称为 HTML 隐写,通过在文本文件的末尾嵌入空格和制表位的方式嵌入隐藏信息,不同空格与制表位的组合代表不同的嵌入信息。infile 必须在 outfile 前,如果不填 infile 选项,则默认从标准输入中获得;另一个文件是空白的txt文档,大致看了一下像是不可见字符,尝试 white_space,发现不是;white_space是一种编程语言,由“空格”,“回车”,“tab”组成。打开附件的空白图片,CRC报错,很可能是高度被修改。
CTF攻防世界web题思路解析2robot
m0_63687631的博客
12-22 1813
1.得到了网址,打开;发现是个空白页 2.然后查看一下源码,发现flag不在这儿 3.然后结合一下题,查下下robot协议;得到robot协议就是告诉爬虫这个网址里面有东西不能被搜到,然后改变网址查下什么内容不能被搜到,在网址后加/robots.txt,然后访问得到这个 4.根据简单翻译,user-agent是使用者代理的意思,disallow是驳回的意思,所以结合robots协议,就是使用者代理告诉我们disallow的内容被驳回了,导致我们不能正常访问,所以我们在网址后边加上这些/..
2018 网鼎杯CTF 第一场
iamsongyu的博客
11-17 3264
哈哈。传说中的pwn鼎杯来了,当时也没做出来什么,现在好好琢磨琢磨。 Web - facebook 首先还是看看网站有啥功能,大概就是一个可以注册登录的,写博客的地方   现在的题目迷惑性很大,不能被表面现象迷惑,猜不透到底是sql注入,还是什么。 从最开始的思路下手,robots git 和sql都试一下 git 无 robots得到信息如下: 发现有源码,下载下来读...
CTFHUB HTTP请求方式
孙轶扬
04-02 7077
#题目重述 使用 CTF**B 方式请求获得 flag。 #解题思路 ##思路一 使用 JavaScript 创建XMLHttpRequest()对象,再用open()和send()方法发送"CTFHUB"请求方法。 这种方法会遇到跨域访问限制的问题,目前对于跨域还是知识忙点,尝试了很多次都无法解决。 ##思路二 这种方法是从网上查来的,使用 Windows 自带的cmd命令行中的 curl命...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值