CTF Web学习(一)----基础篇及头文件修改、隐藏

最新推荐文章于 2024-08-09 23:36:21 发布
最新推荐文章于 2024-08-09 23:36:21 发布
阅读量3.6k 收藏 35
点赞数 4
分类专栏: 我的CTF Web学习之路 文章标签: php python 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36451824/article/details/112426297
版权
本文介绍了CTF Web初学者如何通过查看源代码、修改头文件属性来解决挑战,涉及F12查看代码、修改input限制、User Agent、Accept-Language、Cookie、Referer、X-Forwarded-For等方法,并探讨了302隐藏与JS隐藏的解题策略。
摘要由CSDN通过智能技术生成

CTF Web学习(一)

基础篇及头文件修改、隐藏

CTF Web学习目录链接
CTF Web学习(一):基础篇及头文件修改、隐藏
CTF Web学习(二):代码审计、burp suite应用
CTF Web学习(三):python脚本的编写及应用
CTF Web学习(四):SQL注入

文章目录

前言

CTF Web的题型,按照目前我的理解,就是玩网站,拿到自己想要的东西,就像CTF比赛一样,拿flag、key及其他隐藏信息,而在现实生活中,可能就是拿数据库权限,拿服务器权限等等。而本篇主要是从零基础开始学习,如果有大佬发现问题,还望即使指正。

一、直接查看源代码

(一)F12看代码

1、bugku web1题

链接:http://lab1.xseclab.com/base1_4a4d993ed7bd7d467b27af52d2aaa800/index.php
WriteUp:直接F12
在这里插入图片描述

2、bugku web2题

链接:http://123.206.87.240:8002/web2/
WriteUp:和上题一样,直接F12

二、头文件、属性、隐藏等

(一)input限制输入长度

1、修改maxlength属性

1、http://123.206.87.240:8002/yanzhengma/
2、http://lab1.xseclab.com/base10_0b4e4866096913ac9c3a2272dde27215/index.php
WriteUp:上面两道题就是修改input的maxlength参数,或者直接删除即可
在这里插入图片描述
在这里插入图片描述

(二)修改头文件

1、修改User Agent属性

1、http://lab1.xseclab.com/base6_6082c908819e105c378eb93b6631c4d3/index.php
提示:只允许使用HAHA浏览器,请下载HAHA浏览器访问!
WriteUp:提示需要用HAHA浏览器,说是下载,其实就没有这个浏览器,因此想到需要修改User Agent。可以用HackBar直接修改,也可以用burp suite 修改User Agent,结果一样。
在这里插入图片描述
注:如果用火狐的HackBar,需要

最低0.47元/天 解锁文章
网络猿
关注
  • 4
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF---Web---SQL注入---12---referer修改+手动添加参数
qq_22160557的博客
08-01 818
文章目录前言一、题目描述二、解题步骤1、修改请求包2、手动添加参数3、sqlmap三、总结 前言 题目分类: CTFWeb—SQL注入—12—referer修改+手动添加参数 一、题目描述 题目:SQL注入 二、解题步骤 1、修改请求包 Step1:访问http://172.16.15.203/stage/5/6C9428036D386316.php, 弹框“本页面仅接受来自 www.10086.cn的访问”,提示修改“referer”参数 Step2:抓包另存为txt,并修改referer为www
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF web题总结--http header 修改、cookie注入
bob的博客
08-31 5846
内网访问,X-Forward-For:127.0.0.1 Accept-Language User-Agent status=login
CTF-web修改请求头(XFF)
Sankkl1的博客
08-13 922
该请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。我们可以通过伪造XFF头来假装本地登录,即在request头中加入。随意输入后可以看到需要本地管理员登录,得知这是一道需要修改XFF头的题。
ctf 信息隐藏 html,ctf_web常见套路(一)
weixin_31412915的博客
06-03 3297
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?CTF_web出题常见套路(一)基础套路1.查看源码标志:不用标志,每个网页都可能隐藏信息。重要信息:1.各种敏感词汇:password,username,form,flag,key,tip等2.包含的内容都是重要提示信息3.其他php,txt文件index.txt,search_key.php等4.隐藏的form表单往...
ctf之表单源代码分析和隐藏网页题目分析
qq_48511129的博客
02-03 1392
<!DOCTYPE html> //说明是html5文件 <html lang="en"> //固定格式 <head> //标题标签 <meta charset="UTF-8"> //固定格式 <title>登入框分析</title> //文件标题 </head> <body> //正文标签 <form acti.
CTF杂项之文件头损坏/缺失(以vim为例)
weixin_44268185的博客
06-11 2999
遇到这类的问题我们首先应该用16进制打开文件 这里用vim为例 我们可以看到这张图片的文件头发生了损坏,此时我们在按上述方式打开一张jpeg图片,看一下他的文件头应该是什么.此处直接贴上来jpeg的文件头是ffd8 ffe0我们按i进入命令模式将文件头改过来此时在输入:%!xxd -r把文件改回二进制格式然后输入:wq保存并退出文件至此文件就修好了,让我们看一下结果...
ctf--WEB
wangxinru1的博客
04-29 832
1,web2打开这题是一个动图,右击鼠标查看元素就能得到flag2,计算器打开这道题,我们发现只能输入一个数,查看元素发现长度为一我们把1改为答案的长度就可以了这道题还有另一个更简单的做法,查看源代码看到&lt;script&gt;标签打开看看,直接就能找到flag3,矛盾打开题目,这是一个get传值,函数is_numeric代表检测变量是否为数字或数字字符串如果是返回true否则返回false,...
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
web-ctf-help:脚本集,以帮助基于Webctfs
02-24
Web-CTF-帮助描述一组简单的脚本(目前主要为抓取器),旨在帮助Web CTF。 查找图像源(和替代项),JavaScript源和注释。用法usage: webctf [-h] [-v] [--comments] [--scripts] [--images] [--headers] [--cookies...
CTFweb文件上传基础知识
cutesharkl的博客
07-13 1176
文件上传漏洞:文件上传功能是许多Web应用程序的常见功能之一,但在实施不当的情况下,可能会导致安全漏洞。文件上传漏洞的出现可能会使攻击者能够上传恶意文件,执行远程代码,绕过访问控制等。文件类型验证:Web应用程序通常会对上传的文件类型进行验证,以确保只允许特定类型的文件上传。这种验证可以通过检查文件扩展名或内容类型(MIME类型)来实现。然而,这种验证机制往往是不可靠的,因为攻击者可以伪造文件扩展名或篡改内容类型。
CTF web入门——HTTP头相关的----修改请求头、伪造Cookie类题目——Bugku Web题目详细题解
热门推荐
日熙的博客
07-25 6万+
题目一:Bugku 程序员本地网站 1.打开题目显示如下: 题目二:Bugku 管理员系统 题目三:XCTF xff_referer
Ctf实验吧 --web(学习笔记 未完成)
DwlufveX学习博客
04-11 833
Ctf实验吧 --web (作为自己的学习笔记) 用于学习交流 希望有不足或错误的地方能提出来 (第一次写博客,直接从word复制过来 图片 文字格式什么的都没有了 有点可惜~有时间再进行修改吧 最近要比赛了啊) Ctf实验吧 --web 做完前几个题发现整个人都枯了 不过这些题都特别的有用 而且学到了很多东西 作为初学者的我 受益匪浅啊 首先第一个题就给小白下了一个大的马威 简单的登录题 (这个...
CTF 实验吧 Forms
The Road Of Sec
10-17 1047
1.直接看源码 f12   发现input 标签 hidden 2.   value的值为0 可以更改为1 点击enter  3.得到如图的代码 阅读可知 输入 -19827747736161128312837161661727773716166727272616149001823847 4. 得到flag
BUUCTF MISC 1 - 20
qq_52696970的博客
01-04 1526
BUUCTF MISC:1 - 20
ctfshow web97-100 php特性
qq_52671379的博客
03-28 546
ctfshow web97-php特性
thinkphp漏洞之sql注入漏洞-builder处漏洞
最新发布
banliyaoguai的博客
08-09 528
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值