蓝鲸ctf web篇

最新推荐文章于 2024-08-13 20:42:59 发布
最新推荐文章于 2024-08-13 20:42:59 发布
阅读量2k 收藏 4
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42520737/article/details/81531654
版权

1、本地登陆

打开链接f之后出现返回信息getout 仅允许本地登陆  那么本地登陆的ip为127.0.0.1

 登陆的admin=0,那么需要登陆则为1

flag:{Why_ar3_y0u_s0_dia0}

 

2、find me

页面源码

 

 

3、 http呀

题目提示很明显,存在跳过,将.html后缀改为.php  发现还是自动跳转原来的页面,证明存在东西就直接进行抓包处理

flag:{Y0u_ar3_s0_Car3ful}

 

4、密码泄露

链接进去之后就是登陆界面,然后想到弱密码,我就直接用自己的字典进行爆破,然而并不行,字典这东西太多了,字典不够强大。然后看到password.txt这个网页打不开,就i直接进去看,然后发现是一个密码本,然后复制下来,进行爆破,得到密码,然后查看响应信息得到  

对newpage 的字符     进行在线base64解密   得到

  290bca70c7dae93db6644fa00b9d83b9.php  

然后进去这个链接,是个留言板   然后留言提示信息  :没有登陆   没有权限      那么我就抓包修改信息,

 

 

 

修改两个地方,修改 登陆  ISLogin=1 以及 userlevel=root

得到返回的信息     得到 flag{C0ngratulati0n}     

 

 

D_dayup
关注
专栏目录
蓝鲸CTFweb
没有任何buff的小菜鸡的博客
08-08 1854
为了完成暑假作业的我,又来了 写wp只是为了让自己过一遍思路,同时也为没有想法的大佬提供思路,flag没有打码,但是希望大佬们能按照自己的思路去拿一遍flag 前面刷完南邮的ctf平台,终于发现了最少量的oj蓝鲸(我指web蓝鲸的第一题登录不上去,打算后面看看有没有前辈的wp好好的研究一下 第二题:Find me Emmmm 这个看到题目,一猜就应该跟其他oj一样,都是看源码,直接拿flag...
whaleCTF-web 来着小白的writeup
qq_40523104的博客
04-11 1063
whalectf链接新手,大神不喜勿喷( ̄▽ ̄)"SQL注入:先尝试了sqlmap跑,直接被封IP了,~~>_<~~只能手注了输入1后发现跳转正常 输入1’ 后报错SQL syntax 说明存在SQL注入 分别输入1 and 1 = 1    1 and 1 = 2      1 ‘and’ 1 ‘=’ 1查看页面返回结果,说明为注入类型为数字型 猜解表名是否存在?id=1 and e...
CTF中伪造IP的几种方法
weixin_30457465的博客
07-23 2152
做题的时候遇到过几种伪造IP的方法,这里记录一下 Client-Ip: 127.0.0.1X-Forwarded-For:127.0.0.1Host:127.0.0.1Referer: www.google.com 做题的时候根据需要可以选择使用哪个,或者一个一个试吧。 转载于:https://www.cnblogs.com/sonneay1/p/9354008.html...
CTF -Web系列-信息漏洞
最新发布
2301_81525518的博客
08-13 614
复制文件.txt回到网站拼接成功找到flag返回到CTFHub提交。进入文件就可以看到flag然后复制回去提交就ok了。下载后进入文件找到flag复制粘贴回去提交。进入网站拼接index.php.bak。进入网站拼接index.php.swp。然后进入虚拟机kali输入命令进行克隆。进入后直接git show查看。进入发现里边只有.txt文件。在网站后拼接就可以直接显示了。进入dist下的文件.git。回到网址拼接www.zip。把.txt文件前边空格删掉。成功找到www.zip。然后复制粘贴提交回去。
蓝鲸ctf writeup 本地登录
朝歌
05-13 6238
题目地址:http://39.107.92.230/web/web3/index.php点开链接,可以发现如下图所示。打开burpsuite抓包。然后伪造ip地址提交过去。加上:X-Forwarded-For: 127.0.0.1又发现,显示不是管理员,从下图中我们可以看见,cookie:Set-Cookie: isadmin=0我们尝试着把0改成1。我们得到flag。...
Hackthebox系列 ctf首页无法登录
xujing19920814的博客
10-24 1753
https://ctf.hackthebox.com/无法登录
BugkuCTF---管理员系统
qq_43592364的博客
04-14 3017
题目链接:链接 打开题目链接,看到的是一个登陆界面,还是先随便试一下用户名和登陆密码吧 提示是:IP禁止访问,请联系本地管理员登陆,IP已被记录 那就看一下页面元素,发现了一堆Base64的密文,那就用Hackbar来解密一下试试 得到了一个test123的字符串,那就试一试会不会是用户名和密码 结果还是一样没有任何变化,提示依旧是联系本地管理员,那不如试一下伪造成本地登录 用burps...
蓝鲸CTF Web 之 密码泄露
Tututuo
09-28 1212
蓝鲸CTF Web 之 密码泄露 解题网址:前往 随意输入结果都是得到false 查看源代码 拉到最后发现 然后综合上面也出现了password.txt的提示,我们把index.php文件换成password.txt试试 嘻嘻 出现了一个密码文本诶 把密码保存到记事本(我放在桌面并命名为password.txt了) 然后用Burpsuite爆破一下(傻瓜式教程 ...
蓝鲸安全ctf打卡隐写----第一期
x519461623的博客
02-19 1965
第一期 1.雨中龙猫 考查base64编码和图片源码隐写 题目给出答案格式whalectf{xxx},将whalectf进行base64编码:d2hhbGVjdGY= notepad++打开源码搜索,发现并不能搜索到 因为base64编码过程会重新以6位分组,所以whalectf后面的字母可能会对whalectf的编码影响,所以搜索前几位d2hhbGVj 得到d2hhbGVjdGZ7TG 进行解...
ctf隐写术第一 --蓝鲸
qq_45440239的博客
07-22 613
日常一波隐写gank 看一道简单入坑的ctf隐写—来自蓝鲸的第一道ctf隐写题 话不多说,先看题 下载名为stego_final.png的文件 一张可视的图片,说明头文件和尾文件没什么问题 先查看一下该图片的属性 没有在这写入内容 直接拉进Editor查看一波 检查一波没有发现隐藏文件 继续 用查看图片的Stegsolve查看一波 摇一波,当摇到 时发现了二维码,嘿嘿,接下来直接用手机...
CTF AWD Attack with Defense 线下赛平台 蓝鲸智云容器管理平台
08-22
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
1.只有本地管理员才能访问本页面2.notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with
记录笔记
04-12 2634
只有本地管理员才能访问本页面 F12 看看源码 没啥东西 御剑看看后台 也没看出来有啥 看了下 需要管理员权限 在headers里面设置 添加一行 X-Forwarded-For127.0.0.1 flag{sgwxsSesSD232se14sdSVSsx} notes Happy Why am lfeeling so happy today? Well ljust got to spend threedays with some of my very best friends having fun t
CTF每日一题 | Web 后台
qq_42646885的博客
07-11 1209
打开网页如下:简单的字母提示和一个按钮。 点击按钮,页面出现提示:Only Member with Admin rights is allow to enter。意思是只能以管理员身份进入网站后台。 用brupsuit抓包,看看数据包的发送情况: 返回的数据包中设置了cookie的值,Member的值经过了base64加密。在burpsuite的decoder模块解码——>...
BugkuCTF-WEB-管理员系统
烟雨天青色
08-27 2233
打开题目是如上图界面,网页给了一个登陆的页面,刚看起来还有点像SQL注入的样子,打开源代码看一下: 源代码里确实有点东西,有一个经过base64编码的字符串,先解码看一下: 解码之后结果为test123,猜想一下,这既然是一个后台的管理员系统,用户名指定为admin,那么这个执行就是密码没错了,填上测试一下: 出事了,输入username和password之后,网页提示“IP...
BUUCTF——Web1
2201_75331136的博客
07-17 786
打开靶机,出现以下页面查看源代码发现Secret.php,访问后出现以下页面接着我们使用bp进行抓包在请求头中添加字段发送请求,出现以下页面根据提示更改User-Agent为发送请求,出现以下页面提示要是来自本地的访问请求,联想到127.0.0.1,需要X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。出现flagflag为。
CTF WEB基础】本地管理员 Bugku CTF
yu_fly_fish的博客
08-03 680
一起变强!
CTF练习1
H20180907的博客
06-28 725
练习平台:网络信息安全攻防学习平台 http://hackinglab.cn/index.php 需要登陆以后才能进行操作 点击左边的基础题 一共有12题 T1. 点击过关地址,可得 思路: 除了这行字,没有别的东西,立马联想到使用f12查看源代码(部分电脑使用的是Fn+F12) T2. 思路: 想一下这么短,再加密一次可以得到key,大概是属于什么类型的密码 上面暗示了加密两次的结果等于明文 回转13位,ROT13,简单来说就是:要还原ROT13,只要套用原来使用的加密算法即可,是过去古罗马开发的
西普学院CTF习题解析——WEB(已完成16/16)
热门推荐
乐枕的家
09-15 2万+
源西普学院实验吧 预备知识点 页面调试 审查元素 html js php asp sql 等语法基础 请求头 响应头 伪造IP SQL注入基础 XSS基础 Web常用编码 “网站后台”概念及猜解、扫描技术 脑洞 工具参考 BurpSuite Firefox_firebug Firefox_tamperdata Firefox_modifyheader 御剑 XSSEE(编码解码器) sqlma
ctf——writeup
Child_by_dream的博客
01-19 1064
ctf线上赛——第三关地址:http://106.75.86.18:2222提示:ip spoofing——ip伪造首先访问目标地址,一个正常的网页,挺文艺的。上面有些提示。根据上面的提示,我们浏览网页。找了好久,终于找到你。这个跳转链接。(在这个页面下方)我们接着点击这个链接,就跳转到administrator.php这个页面了。看到这个登录页面,就要知道用户名,密码,可是没有怎么办。一开始也试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值