暑期练习web13:web test(i春秋)百度杯 九月场

最新推荐文章于 2021-12-01 23:14:06 发布
最新推荐文章于 2021-12-01 23:14:06 发布
阅读量281 收藏
点赞数
分类专栏: ctf web 文章标签: web ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41618162/article/details/81839590
版权
ctf 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
web
32 篇文章 0 订阅
订阅专栏

头一回做这样的题啊,感觉特新鲜!
这次题目一打开居然是一个比较成型的网页了,源码也复杂到你根本不会去看
这里写图片描述
题目的hint是让我们善于搜索。。所以我就最后就搜出几篇wp来看看了。。。。
翻翻这个页面可以知道一个关键词:海洋cms
于是感觉去百度这个东西,发现它是一个具有许多漏洞的cms,这也是他会被选为靶机的原因吧。。现在我们一头雾水根本不知道这是什么玩意,知道我看到了一个可以前台getshell的博客
这里写图片描述
于是就开始了这方面的搜索
http://0day5.com/archives/4180/
https://blog.csdn.net/fsdzsec/article/details/53132362
这两篇都是在说海洋csm 6.28版本的一个漏洞
然后利用菜刀来抓一波:
这里写图片描述
然后我就想着找flag。。。结果文件太多了,根本找不着,这时候就想着找一波数据库配置文件
百度一下一般叫啥文件名
这里写图片描述
在install文件夹中找到了这个
这里写图片描述
这里发一个菜刀的教程,里面有说配置数据库的格式
https://blog.csdn.net/lixue20141529/article/details/78024525
这里写图片描述
(字符编码utf-8也行)
这样设置好了后,右键点击配置数据库
在seacms数据库中找到了flag
这里写图片描述
总结:这题就现在来说还是很新颖的,今后再遇见这样的题目也会有点路数,同时也是初步了解了菜刀的一些基础用法,也算不错啦

这里写图片描述

何家公子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web_tasks:暑期web培训
05-14
【标题解析】:“web_tasks:暑期web培训”这个标题表明这是一个关于Web技术的夏季培训项目,可能是一个在线课程或者实地教学活动,旨在提升学员在Web开发领域的技能。"web_tasks"可能是课程或项目的代码名称,暗示了...
百度CTF比赛 九月 Code
feng的博客
09-11 586
前言 这道题基本上花了我差不多快5个小时,前面虽然遇到了小问题,但是自己也是努力攻克掉了,只是卡在了最后那块,看了很多WP,逻辑上花了很久很久才想明白。可以说,这题还是很不错的。 WP 打开环境发现是一张照片,第一反应是保存到本地然后用记事本打开看看里面藏没藏flag,我也这样试了,没用。我又进行了抓包和dirsearch扫描,其中dirsearch扫描有了一些收获: 我们发现了config.php文件,还有.idea的相关文件。我虽然不知道这是个什么文件,但是把那些都给打开看了一遍。在看/.idea/w
百度CTF比赛 九月 考脑洞,你能过么?python3
weixin_42357645的博客
11-14 352
考脑洞,你能过么?python3 “百度CTF比赛 九月 Writeup 题解 0x01 changame.ichunqiu.com/index.php?jpg=hei.jpg 根据url格式就想试一下jpg=index.php 浏览器F12查看源码img标签似乎是base64 直接上python3代码 #ready import requests import re import base64 from time import sleep urlPart1='9fa9f9800df645d298a2
百度CTF比赛 九月 Upload解题思路
qq_43473164的博客
05-16 1772
Hello,大家好,我是锘锘鸡。 今天分享给大家的是百度CTF比赛的Upload解题思路。 先看下题目 提示flag就在flag.php中。 进入答题链接 发现是文件上传,于是好奇的锘锘鸡开始了他的第一波操作"题下留名",证明自己来过 上传成功后,锘锘鸡惊奇的发现,上传成功在html中是在a标签中的,而且直接链接到文件目录下。 锘锘鸡试着点开!!!click… 嗯??… 锘锘鸡电灯泡一...
百度CTF比赛 九月 SQL-writeup
wyj_1216 House
04-05 615
题目来源: “百度CTF比赛 九月 SQL(i春秋CTF题库) http://5a2ac0925dcc43de96dd1453e3b6c1e348f7b2c59f7c4fbd.changame.ichunqiu.com/index.php?id=1 writeup 1、判断有无注入点 发现,有过滤,尝试许多,参考大神思路,发现<>绕过and过滤 继续判断注入点有无 发现无...
i春秋百度CTF比赛 九月 SQL %00截断绕过
AAAAAAAAAAAA66的博客
12-01 2703
题目 不走就不走 直接注入 id=1and1=2 怀疑过滤,尝试到%00 截断是否能过滤。 (这里讲解下过滤知识) 本题是后端是通过匹配and select 等字符串来进行匹配的,在and中加入%00,为a%00nd 可以绕过匹配,但实际运行中服务器会将%00解析为空,这样就可实现绕过。 ?id=1 a%00nd 1=2 无回显,判断存在注入,且为字符型注入。 order by 1~99 获取 数据库字段长度() ?id=1 or%00der by 4...
想要的问题::label:Web应用程序可帮助初学者开始为Haskell项目做出贡献
02-04
希望发行 issue-wanted是一个Web应用程序,旨在通过将跨多个Haskell存储库的GitHub问题集中到一个位置来改善开源的Haskell社区。 issue-wanted的目标是使所有技能水平的程序员都可以更轻松地找到Haskell项目以做出...
Internshala_WEB_project:我的 Internshala 网络开发暑期培训项目
07-24
Internshala_WEB_project 我的 Internshala 暑期 Web 开发培训项目。 查看。
2011百度实习生招聘笔试题-web前端开发
05-11
2011百度暑期实习生招聘笔试题-web前端开发,有部分答案
html5,web前端实验
最新发布
12-22
1.设计“大学生暑期社会实践调查问卷”页面,如图1-7-3所示。 图1-7-3 大学生暑期社会调查表页面 2.调查表前导语的内容如下所示: 大学生暑期社会实践调查问卷 亲爱的同学:大家好! 为了更好的了解人们对近年来...
百度CTF比赛 九月——Code
Ifish的博客
08-07 2640
题目描述 解题思路 1、打开题目链接,看到url,感觉应该是文件包含 查看源码,看到了图片的base64编码 2、感觉思路比较清晰,构造 index.php?jpg=index.php,查看源码,得到base64编码,解码,得到index.php的源码 &amp;lt;?php /** * Created by PhpStorm. * Date: 2015/11/16...
Web-Test[i春秋][50pt]
Laurel_60的博客
08-02 511
链接打开之后是一个海洋cms的网站。 emmm那我们就在网上搜一下海洋cms的漏洞。会搜索到有一个漏洞是- - /search.php?searchtype=5&amp;amp;tid=&amp;amp;area=eval($_POST[1]) 那就拿菜刀连上去。 看到这么多的文件夹,果断百度一下海洋的数据库配置文件的存储位置- - /data/common.inc.php 于是看到了...
i春秋 WEB test
A_dmin的博客
06-11 457
i春秋 WEB test 一天一道CTF题目,能多不能少 打开网页发现是一个海洋cms搭建的平台,然后根据提示: 十有八九是查找海洋cms的漏洞,那就直接百度吧!! 找到以下几个: 海洋CMS V6.28 命令执行 0DAY Seacms v6.45 漏洞复现 海洋cms v6.53 v6.54版本漏洞复现 要么是命令执行,要么是getshell 先测试命令执行: searchtype=5&am...
百度CTF比赛 九月——Web-Upload
Ifish的博客
05-28 2617
题目描述 解题思路 看到提示,随意上传文件,并且flag在flag.php中,创建赛题,打开链接 就简单上传一个一句话上去 &amp;amp;lt;?php @eval($_POST[&amp;quot;code&amp;quot;]); ?&amp;amp;gt; 结果显示上传成功,但是,发现把“&amp;amp;lt;”和”php ”给过滤掉了 那我们就很自然的想到PHP的长标签了 重新修改代码 &amp;am
百度CTF比赛 九月 类型:Web 题目名称:SQLi
大方子
08-01 2791
收获的知识: 重定向一般发生在访问域名而且不加参数或者文件夹名,文件名这样的情况下 sql注入也要留意HTTP信息的变化 可以利用SQL map跑一下看看有没有有用的信息 不使用单引号和逗号的注入的注入技巧       发现页面空白 然后查看源文件 发现另一个页面 进去后出现   后来手测和用sqlmap跑感觉这不是一个注入点 看了别人的writeup之后发现...
百度ctf夺旗大战,16万元奖励池等你拿
toutiaowenzhang的博客
09-01 574
寻找安全圈内最会夺flag的CTF职业玩家,将以个人方式参与夺旗,完全凭借个人在CTF中的技艺及造诣获得奖金回报。 周末少打一局LOL,玩一玩CTF也能挣个万元零花钱!**比赛时间: 9月至17年3月的周末(除节日外),周六8:00~周日20:00 奖金计划: 比赛分为周赛和月赛,周赛奖金池4000元,月赛奖金池6000元 比赛详情: 【比赛地址】:http://www.ichunqiu...
百度CTF比赛 九月------code
大方子
08-16 3076
============================= 个人收获: 1.phpstorm创建的文件会自动穿件idea,里面的workspace.xml会保存目录结构 2.URL文件包含要多注意   =============================   题目:   刚开始以为是隐写,保存到本地打开看没有什么奇怪的地方,打开源码也很正常 但是URL的连接引起我...
i春秋百度CTF比赛 九月 Code
include_heqile的博客
09-06 686
Code 这道题打开是一张图片,然后我们可以修改POST数据,将jpg=hei.jpg改为jpg=index.php,查看页面源代码,我们发现了base64编码的数据,将其解码,即可得到index.php的源代码: &amp;amp;amp;amp;amp;amp;amp;lt;?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */ header('content...
i春秋 百度CTF比赛(二月) Misc&&web题解 By Assassin
热门推荐
Assassin
03-16 2万+
学习web,搞起来! 百度CTF比赛(二月)训练赛传送门爆破-1打开题目我们直接就看到源码,加上注释如下<?php include "flag.php"; //包含flag.php这个文件 $a = @$_REQUEST['hello']; //$a这个变量请求变量hello的值 if(!preg_match('/^\w*$/',$a )){ //正则
电子商务公司实习暑期社会实践报告.docx
11-16
电子商务公司实习暑期社会实践报告.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值