web ctf解题记录 bugku的ctf_论剑场

最新推荐文章于 2024-08-01 09:39:05 发布
最新推荐文章于 2024-08-01 09:39:05 发布
阅读量900 收藏
点赞数
分类专栏: bugku_ctf_web 文章标签: ctf 论剑场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42812036/article/details/101023900
版权
本文记录了作者在Bugku CTF平台上的解题经历,涉及Web26、Web1、Web9、Web2、Web6等题目。Web26利用PHP的is_numeric()函数特性进行解题;Web1通过变量覆盖漏洞利用extract()函数;Web9通过改变HTTP请求方式为PUT获取flag;Web2使用Python脚本计算提交;Web6结合XFF和浏览器开发者工具解密提示;日志审计中通过ASCII码转换找到SQL注入线索。
摘要由CSDN通过智能技术生成

ctf_论剑场持续更新


需要写脚本的都放在脚本专辑里了,点这句话

web26

PHP is_numeric() 函数 PHP 可用的函数 is_numeric()
函数用于检测变量是否为数字数字字符串

preg_match('/\d+/sD'

正则表达式 //里的是指要匹配的内容,g代表匹配多次,而不是第一次匹配到就结束。

在这里插入图片描述
解答

这题既不能写入数字,又要检测到数字才能输出flag

web1

变量覆盖漏洞
见到 extract() 想到变量覆盖漏洞

变量覆盖漏洞

playload
?a=&c=aaaaa

最低0.47元/天 解锁文章
昂首下楼梯
关注
专栏目录
BugkuCTF-MISC-论剑
Alita_lxz的博客
03-19 529
下载文件之后发现是一张图片 遇到图片的题一般我会先用Stegsolve简单看一下有没有什么发现,没什么发现之后 binwalk一下看看 发现有两张图片 然后foremost图片,在output/jpg文件夹下看到两张图片打开一看尺寸不一样 于是想到图片的尺寸被修改过 打开HxD修改了三张图片的尺寸 将长宽改成一致后打开 发现有两张图片带有flag,但是被挡住了同一个地方 这说明图片中还...
ctf web5 练习_BUGKU CTF 论剑 WEB题 5-15pt 送分题 writeup~
weixin_32585497的博客
12-29 836
1.web26解题:打开页面发现如下代码:
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTFweb安全赛题解析(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
08-01 492
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(host值是web服务器的值)
CTF_论剑 bugku新平台】CTF 题解
algae
08-05 497
待择日补充更改ing
webctf07Day
taochiyudadada的博客
05-19 295
我要成为web???? 你从哪里来 HTTP请求报文: 他说要从谷歌来: 可以bp抓包: 更改一下请求头的内容就可以实现了: 具体的: http请求头里的键值对是 也就是请求头里每个key对应的功能! 这个题用到 referer:该页面的来源URL 那我们就可以直接bp抓包,再修改,最后获取响应! 这个题好像在攻防世界做过! 2.md5 collision(NUPT_CTF) md5 collision(md5碰撞)这英语不...
CTF论剑 misc 二维码
gjjlovegjq的博客
10-31 2842
CTF论剑 misc 二维码 writeup 下载附件,打开压缩包,发现有两个文件,一个压缩包,一个txt。 他说txt是压缩包密码,那我们就要相信他嘛,打开txt压缩包,发现是一堆base64,,根据提示,确定为base64图片编码 http://imgbase64.duoshitong.com/ 解码网址附上 获得了压缩包密码,先放一边。接着打开另外一个压缩包,发现是一堆加密过后的文件...
ctf论剑脚本题(从0开始写比赛脚本,赛题中学习成长)
qq_42812036的博客
09-23 1273
ctf论剑跑脚本题学习用python在ctf比赛中写脚本的建议web2 学习用python在ctf比赛中写脚本的建议 了解基本的语法安装,知道安装库。 能在代码编辑器中直接跑python代码,而不是在cmd里面。 从实际需求出发,百度搜索你需要完成的需求,搜你需要的代码,然后读懂它,自己移植出来。 多踩坑,比如时间戳的问题,要多尝试。 web2 凭手速不太现实,看下源码,那就通过pyth...
BugkuCTF-WEB-第43题到第52题
Alita_lxz的博客
11-04 1190
BugkuCTF-WEB-第43题到第52题
西湖论剑2021 Crypto unknown_dsa wp
Fred_Bohr_Locke的博客
11-21 689
题目 from Crypto.Util.number import * from Crypto.PublicKey import DSA from Crypto.Hash import SHA from gmpy2 import invert,powmod import random from secret import flag,m1,m2,ul,vl,wl def encrypt(): key = DSA.generate(int(1024)) q = key.q p = ke
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
CTF_论剑
timesleep的博客
03-08 143
1.头像 直接拉到winhax中查找文本flag就找到了,然后base64解码,再用MD5加密32位 2.签到 直接就给出flag 3.0和1的故事 打开压缩包最后看到了一个flag{}.txt的文件 打开发现后面有空格拉到windex中 然后转成16进制提交 4.这个人真的很高 图片另存为 打开查看我们修改它的高度查看一下详细 然后我们拖进winhex修改一下高度 640的十六进制为280 499的十六进制为1f3 然后我们修改为300 然后保查看 我们看到了加密过的前半部分在找后面的
CTFWEB基础篇
Innocence_0的博客
03-15 1858
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
BugKuCTF-杂项-论剑
BlueDoorZz的博客
07-11 2983
首先一套常规操作,右键查看常规信息,binwalk分析一下,stegsolve再搞一搞,没发现什么有价值的东西。然后WinHex查看二进制文件,发现一段连续的01串。嗯?有蹊跷。 8个一组转成ASCII码值,得到mynameiskey!!!hhh。有用的信息,我们先保存下来。尝试修改一下图片的size,看看有没有什么隐藏信息。打开WinHex,搜索FFC2,3字节后即图片的高与宽信息,...
CTF——web个人总结
recover517的博客
05-28 1万+
包含个人总结的解题思路、注入思路、文件包含思路、源码审计思路等
bugku 日志审计 python
为之的博客
07-02 564
打开log,长长的一片, 直接搜索flag,找到后面一部分 简单分析一下,在这flag之前的信息都没用,所以我就直接删除了, 对id参数的值进行url解码发现这是在注入,但是这样分析太麻烦了,所以我想尝试使用python来获取数据 先是获取到所有id参数的值并且将其url解码,同时把该请求的响应状态码200或404一同放入log.txt中 #!/usr/bin/env python3 # -*- coding: utf-8 -*- import re import urlli..
CTF基础知识及web
m0_60484735的博客
04-21 7949
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录CTF基础知识一、CTF简介二、CTF赛事介绍三、CTF竞赛模式1.解题模式(Jeopardy)2.攻防模式(Attack-Defense)3.混合模式(Mix)四、CTF竞赛内容国内外著名赛事1、国际知名CTF赛事2、国内知名CTF赛事五、如何学习CTF1、分析赛题2、常规操作3、入门知识推荐书籍 CTF基础知识 一、CTF简介 CTF(Capture The Flag)夺旗比赛,在网络安全领域中指的是网络安全技术人员之间进行.
零基础入门CTF?从Web开始学起!实战师傅带你快速上车!
Python84310366的博客
05-21 653
提起CTF竞赛,大家可能闪回2019年的夏天转眼间已经是五年前的事情了队员们身着黑衣战服,坐着电竞椅,性能强悍的台式机,高端电竞耳机和键盘,还有解说员激情四射,全剧一开始,看上去是一个精彩、激烈的电竞比赛!但实际上CTF不等同于电竞,不是玩游戏,也不是“玩物丧志”,一般是为了剧情需要,电视剧中的CTF比赛会被电竞化。实际上的CTF大赛,是网络安全技术人员之间的技术竞技!随着《亲爱的,热爱的》这部剧的热播网络安全竞赛逐渐进入大众的视野不少人也因此入坑CTF竞赛当然,小编要告诉你。
国科大Web安全期末CTF挑战解析
"该资源是国科大web安全技术课程的期末CTF挑战相关的学习资料,涉及了Web安全中的加密解密、文件路径安全检查以及SQL注入等多个知识点。" 在Web安全领域,基础的加密解密技能是必不可少的。在这个案例中,第一道...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值