BugkuCTF中套路满满的题-----------Trim的日记本

最新推荐文章于 2024-07-30 20:29:32 发布
最新推荐文章于 2024-07-30 20:29:32 发布
阅读量2.3k 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42133828/article/details/88024504
版权

这道题目,说起来小编看到题目内容的时候,以为是一道sql注入?,

结果尝试发送的时候,发现根本就没有传出去,

可见,这是一个静态html页面,在尝试查看源代码,随意点击可点击的内容,发现都没有什么作用。

于是,小编我就尝试用御剑扫一波,看看有没可用的目录:

 

 可见有一个show.php是超出我们在页面所点击的网页,访问,可看到:

没错,他给出了flag,但是提交上去,你会发现是错的,小编也尝试了好几次,甚至把 mysql connnect error !都提交上去,还是不对(可见小编此刻内心的绝望),但看到说是真真假假,那么flag应该还是她所给出的,再尝试一次,偶然将1和冒号的位置变一下,提交上去,就过了

即       flag:1{0/m9o9PDtcSyu7Tt}

南人旧心1906
关注
专栏目录
Vuev-model的多种使用方式-妙用小技巧
JackieDYH的博客
01-17 1740
v-model <div id="app"> <input type="text" v-model="num"> <input type="text" :value="num" v-on:input="num=$event.target.value"> <h2>{{num}}</h2> </div> <script src="https://cdn.jsdelivr.net/npm/vue/dist/v
vue利用自定义指令全局去除el-input框前后空格
蜗牛~~
03-13 6172
当用户输入的时候,我们需要自动去掉输入框两边的空格, 注意,间是能输入空格的。此时我们利用全局自定义指令实现对el-input的只去除首尾空格的需求。1、在directive文件夹下创建一个trim文件夹。2、index.js文件。
bugku ctf Trim日记本 (hints:不要一次就放弃)
qq_42777804的博客
04-25 724
打开之后 这么个网页 说实话当我看到 mysql connect error时 我就想到 sql注入 但是好像行不通 那就 御剑扫描一波 然后就发现了这个网站 http://123.206.87.240:9002/show.php 打开 flag如下 flag1:{0/m9o9PDtcSyu7Tt} 注:御剑后台扫描工具我上传了 不知...
bugku Trim日记本
小白渣的博客
09-18 201
e~~ 御剑扫一下就好
[Bugku] web-CTF靶场系列详解①!!!
最新发布
muyuchen110的博客
07-30 1117
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台,部分赛采用动态FLAG形式,避免直接抄袭答案。
bugku-Web-Trim日记本
Sea_Sand息禅
04-01 491
hints:不要一次就放弃 还是尽快放弃的好。。。。。 我登录的注入很弱耶,御剑扫描一下,得到一个http://123.206.87.240:9002/show.php。 访问此网页,flag就有了,为什么是200分。。。 ...
bugku trim日记本
JulianBrandt的博客
03-17 952
http://123.206.87.240:9002/ 打开发现是一个登录界面,猜测是注入。点击register,发现网址变成了http://123.206.87.240:9002/register.php,所以先用扫描工具扫一下, 发现还有一个show.php,打开, 不清楚是不是真的flag,先提交试试,过了。。。 ...
Bugku CTF Web ——Trim日记本
qq_42937520的博客
03-20 195
1、打开目:http://123.206.87.240:9002/ 2、BP抓包未发现信息 3、御剑后台扫描看看情况 发现一个show.php文件,打开看看效果 找到flag:flag1:{0/m9o9PDtcSyu7Tt}
CTF平台库writeup(四)--BugKuCTF-代码审计(14详解)
渗透、攻防、CTF、编程
07-04 4443
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
【错误集】sharding-jdbc-4.1.1版本启动时报数据源错误问
天涯共明月的博客
10-11 1万+
sharding-jdbc-4.1.1版本启动数据源报错问,现象:springboot搭建sharding-jdbc实现分库分表时报错: Failed to configure a DataSource: 'url' attribute is not specified and no embedded datasource could be configured. Reason: Failed to determine a suitable driver class
BugkuCTF-WEBfile_get_contents
am_03的博客
08-29 6638
知识点 empty() 函数用于检查一个变量是否为空。empty() 判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于 FALSE,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。 extract()函数从数组里将变量导入到当前的符号表。extract函数:可以进行变量覆盖。 语法:extract(array,extract_rules,prefix) 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组里的各元素,将在当前符号表里创建对应的一个变量。第二
Bugku-CTFTrim日记本(不要一次就放弃)
weixin_33971977的博客
04-23 223
Day19 Trim日记本 http://123.206.87.240:9002/ hints:不要一次就放弃 本要点:目录扫描 试着注册一下~ 点击ok emmmm..... 直接登录呢?试试 仍旧没有用......... 扫描一下目录吧~ 有点发现~ 依次打开看看~ 打开这个...
bugkuCTF---WEBwriteup
居小然的博客
03-31 482
1.web2第一很简单,F12,直接出flag;2.文件上传测试原链接:点击打开链接首先创建一个1.php.jpg。点击上传,同时使用Burp进行抓包,然后Ctrl+R,将php.jpg后面的.jpg去除,点击GO,即可出来flag3.计算机原链接:点击打开链接打开网址输入结果,会发现无法完整的输入结果,F12修改长度限制,然后返回输入结果,即可获得flag;(tips:我用的是谷歌浏览器,...
CTF代码审计
weixin_43749601的博客
10-20 2255
extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 1、extract()函数使用数组键名作为变量名,使用数组键值作为变量的值,当变量
CTF(web)的常见php函数意义与用法
qq_52907838的博客
04-05 1447
is_numeric()函数用于检测变量是否为数字或数字字符串, 如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE,注意浮点型返回空值,即 FALSE var_dump()会返回数据变量的类型和值 eval()会把字符串当作php代码 看到eval(),想到可以用命令执行漏洞 strpos() 函数用于在字符串内查找一个字符或一段指定的文本,如果在字符串找到匹配,该函数会返回第一个匹配的字符位置。如果未找到匹配,则返回 FALSE。 strlen函...
CTF-入门九
realstarstarli的博客
07-19 1224
CTF-入门九 这里继续bugku web的解记录. 秋名山老司机 拿到这道,告诉你们在两秒之内提交答案,手动肯定是不行的。 两秒内刷新是这样的页面,这里也可以知道是post方法传值 这里给出脚本,网上的脚本大同小异,这里按照惯例优化了一下代码并给出完整的代码注释 import requests from bs4 import BeautifulSoup #获取网页内容,并且提取<div>内容 ''' 通过我们对于目的源代码的分析可知,在两秒内刷新页面会得到不一样的结果 这里其实是会话
CTF常见的黑魔法
L1ni01
10-20 2340
CTF常见的黑魔法 入门级别 不是很全,慢慢总结 1.sha1和md5 要求变量原值不同但md5或sha1相同的情况下 1.0e开头的全部相等(==判断) 240610708 和 QNKCDZO md5值类型相似,但并不相同,在”==”相等操作符的运算下,结果返回了true. Md5和sha1一样 2.利用数组绕过(===判断) Md5和sha1对一个数组进行加密将返回NULL;而NULL===NULL返回true,所以可绕过判断。 2.strcmp函数的绕过 strcmp 的参数只能是字符串,当我们传入
BUGKU writeup
热门推荐
CHOOOU的博客
08-06 1万+
Reverse easy_vb soeasy easy_re f5查看v4和v5的值,再将十六进制转换成字符就行了 游戏过关 解有好几种方式 1. 搜done,看到一个函数sub_45E940,F5,分析函数的内容,当然我不是这样做的,感觉麻烦 2. 修改程序逻辑,使得输入任意数直接弹flag,搜索loc_45F5B7,这个函数是判断是否满足灯全亮什么的,往下滑,下一...
BugKu CTF 社工部分writeup
weixin_42263657的博客
12-23 5371
1.密码 姓名:张三 生日;19970315 就是猜密码吧 zs19970315 2.信息查找 社会工程学基础目 信息查找 听说bugku.cn 在今日头条上能找到?? 提示:flag为群号码 百度了bugku.cn和今日头条都不行,于是Google了bugku.cn发现一个今日头条的网站,点进去看有两个qq群号,然后flag是第二个 3.简单的社工尝试 这个狗就是我画的,而且当了头像...
Pro-AM网格生成教程:进气歧管流场模拟详解
静压截面图是Star-CD模拟软件的一个重要概念,它用于描述流体流动的压力分布情况。在Pro-AM模块,生成准确的网格对于模拟进气歧管内的流场至关重要。以下是关于如何使用Pro-AM进行网格生成和模拟过程的详细...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值