BUUCTF全题解目录(一)

最新推荐文章于 2024-09-09 17:34:31 发布
置顶 最新推荐文章于 2024-09-09 17:34:31 发布
阅读量3.6k 收藏 10
点赞数
分类专栏: BUUCTF 文章标签: php 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42812036/article/details/104228279
版权
这篇博客汇总了BUUCTF比赛中的Web题目全解,涉及PHP代码审计、文件上传、SQL注入、SSRF、模板注入等多个安全漏洞的原理和解题思路,包括利用技巧和过滤规则的绕过方法。通过链接分享了多个CTF比赛的Writeup,深入探讨了Web安全领域的实战技能。
摘要由CSDN通过智能技术生成

漏洞原理 题目知识点讲的详细:
王叹之
https://www.cnblogs.com/wangtanzhi/p/12239918.html

web

[HCTF 2018]WarmUp
※※※※
全解:https://www.jianshu.com/p/1c2998973197
PHP 代码审计
phpmyadmin 4.8.1任意文件包含

[强网杯 2019]随便注
※※※※
比赛web题全解:https://www.jianshu.com/p/db6e2576b674
fuzz一下,过滤规则得出,然后
show tables =>得表名
show columns from table_name =>

[护网杯 2018]easy_tornado
※※※※

模板注入,服务端模板注入攻击 (SSTI),Tornado是python写web的应用框架;
http://www.creatapd.com/2018%E6%8A%A4%E7%BD%91%E6%9D%AFwriteup/
https://www.anquanke.com/post/id/161849?from=groupmessage#h2-1

[SUCTF 2019]EasySQL1
https://www.jianshu.com/p/5644f7c39c68
https://blog.csdn.net/qq_43619533/article

最低0.47元/天 解锁文章
昂首下楼梯
关注
专栏目录
BUUCTF-[极客大挑战 2019]PHP 1
qq_57345310的博客
10-13 708
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
BUUCTF crackMe 题解
lifanxin的博客
07-12 3571
crackMe程序信息题目分析main函数分析sub_401830关键函数分析动态调试byte_416050求解总结 程序信息   这道题目来自于哪个实际比赛,我没有去找,我个人是从buuoj上刷到的,位于re部分第二页,题目只有一分,做出来的人也比较多,看起来应该是个简单的题目。   之所以要写这个wp,是对题目的答案存在一些疑问,网上也有很多wp,我都看了一下,大致都出自于同一个人的手笔O(∩_∩)O。我个人感觉网上的wp分析过程都漏了一步,虽然这样得出的flag可以通过buuoj,但是这是个crack
BUUCTF题解
qq_51175992的博客
05-27 5579
BUUCTF题解,主要包括CTF中的Crypto、Misc方向,其中一些题目的解法参考了其他博主大佬的思路。这个文章主要是用于自学和提供思路解法,会不定时更新
CTF靶场之BUUCTF介绍
最新发布
康师父Blog
09-09 542
需要注册一下,感兴趣的同学可以注册尝试一下,该靶场也会更新最新的CTF赛事题目、由简单到难,适合方位的练习,目前该靶场共分为几个部分:Basic(基础)、Crypto(加密)、DASBOOK(刷题书)、Misc(杂项)、是Nu1L Team为方便读者打造的免费平台)、Pwn(漏洞利用)、Real(实际会遇到的漏洞)、Reverse(逆向)、Web(网络)、加固题(各个赛事的经典案利)。接下来的一段时间我们就从基础开始进行打靶场,初学小菜鸟,有不对的地方还请指导。
BUUCTF——Basic题解
Zichel77的博客
08-17 6127
所以我们不能将input设为具体的值,而是在序列化执行,令input=&correct。文件包含在 php 中,涉及到的危险函数有四个,分别是 include()、include_once()、require()、require_once()。程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程一般被称为文件包含。于是涉及到了md5绕过的问题,md5这个地方可以用md5弱碰撞,因为是弱类型比较。以下几个的md5弱类型比较均相等。...
Buuctf 实战(部分题解
dalaoadfd的博客
05-09 221
解题思路:根据已给的文件形式为图片 使用010editor观察图片的二进制信息得到隐写的信息。根据题目判断使用了传输协议 对ftp协议进行筛选 追踪流查看数据发现乱码。解题思路:观察图片没有发现信息 然后查看图片的二进制信息 得到答案。另存为压缩包格式 发现需要密码 使用工具进行暴力破解 得到结果。打开文件发现是一串数字字母 进行base64转码得到结果。根据题目推断数据被截获下载 筛选HTTP协议。打开根据提示进行ftp筛选找到密码输入。第二题 被隐藏的数据包。第十题 被窃取的文件。
BUUCTF__web题解合集(四)
风过江南乱的博客
08-07 1404
一、[GXYCTF2019]禁止套娃 二、[安洵杯 2019]easy_web 三、[GKCTF2020]cve版签到 四、[SWPU2019]Web1 五、[ASIS 2019]Unicorn shop
buuctfmisc题解wireshark
04-10
buuctfmisc是一个CTF比赛中的题目,涉及到网络分析工具Wireshark的使用。Wireshark是一款开源的网络协议分析工具,可以用于捕获和分析网络数据包。在buuctfmisc题目中,可能需要使用Wireshark来解析和分析给定的网络...
buuctf逆向之xor题解
qq_51274933的博客
04-08 548
将xor源文件拖入exeinfope中查壳,发现并没有加壳,并且该文件是一个mac文件下一步直接拖入idapro中进行静态分析,查看左侧函数funcation窗口,双击直接进入main函数在反汇编窗点击main所在行按f5查看伪代码。
BUUCTF__[极客大挑战 2019]LoveSQL_题解
风过江南乱的博客
06-19 1226
前言 很好,考完了死亡高数和大物,虽然还没考完,不过艰难的已经过去了,感觉神清气爽,水一题。 u1s1,线上考试=在海里考试。 读题 嗯,还是熟悉的背景图,好几题都是这个师傅出的sql注入。 首先很容易试出为单引号字符型闭合,输入 1、1"、1’ , 在1’时报错 然后尝试注入,发现,好像没有过滤,连 union 联合注入都能使用,并且很容易得到数据库名称,得到数据库名称geek 但在此之前,先得到列数为3,不是3则提示报错 然后,基本操作得到表信息,有两个表geekuser和l0ve1ysq
BUUCTF__[极客大挑战 2019]Havefun_题解
风过江南乱的博客
05-16 1601
看题 这题真的是最简单的一题了。以至于看到flag还以为是假的,毕竟吃过假flag的亏。 拿到题目,很好看 相关性F12,发现被注释的代码。 很简单的一段代码。 尝试get传入cat=dog http://e2c1cdbb-e689-45c2-ba6c-d8fddd629759.node3.buuoj.cn/?cat=dog 神奇的事情出现了,出现了一串神秘字符串。 尝试提交flag,成功,emmm。 就这?就这?就这? 最后 没什么知识点,就乐呵一下吧。 附
BUUCTF__web题解合集(六)
风过江南乱的博客
08-12 825
1、[BJDCTF 2nd]简单注入 2、[NCTF2019]Fake XML cookbook 3、[MRCTF2020]PYWebsite 4、[极客大挑战 2019]FinalSQL 5、[GKCTF2020]老八小超市儿
BUUCTF-Web-题目详解(持续更新……)
AkangBoy的博客
12-11 4734
本文介绍BUUCTF平台上,web题目的详解过程,持续更新
题解记录-BUUCTF|Web (持续更新中)
weixin_57448435的博客
09-17 2807
BUUCTF Web
Buuctf Web题解
weixin_68029979的博客
04-24 1400
写在前面, 本人小白一枚,记录一下web做题过程,大部分为个人理解可能有些地方写的不够明确还请见谅。当然由于刚入手web题,所以有些题会没有思路,这时会参考其他大佬的题解过程。本文会一直更新,由于是第一次写博客,所以并不知道一篇能写多少,不管怎样会一直更新的。在题解中,可能并没有说清除为什么是这样,什么要这样,其实大部分我也不知道是为什么,但就是这样做,由上所说我是个小白。如果在文中,出现了只有题目没有题解的情况,是因为我还没有学习与之相关的知识,所以先跳过了,但总会写的。
BUUCTF 部分题解
qq_42744489的博客
07-04 534
直接提交afctf{1s't_s0_345y}会失败,然后尝试将afctf替换为flag,即flag{1s't_s0_345y} ,提交成功。然后随意用一个摩斯密码翻译器翻译出下面的字符,但是要注意,分隔符一定要选择正确,即“/”,否则无法正常输出结果。然后得到了这样一串字符串,考虑到其中含有ABC,所以我们首先尝试用16进制字符串转换文本,得到下列结果。可以很明显的看出,下面的一串就是密码,根据题目名称、描述和图片内容,可以猜测图片下方的符号为猪圈密码。第一个字符串可见并不是正确的flag。
Buuctf解题思路
include_voidmain的博客
10-14 563
Buuctf解题思路
BUUCTFWeb题解
xuanyulevel6的博客
08-08 5553
BUUCTFWeb题解
BUUCTF解题web十一道
qq_45837896的博客
05-26 1371
[2019极客大挑战]EASYSQL 到页面里发现是一个登录框 回想注入思路,先判断注入类型,然后尝试登陆绕过 使用万能密码username=’ or 1=1 or ‘1’=‘1’# &password=asd [2019极客大挑战]HAVEFUN 打开页面发现是一只猫猫,点了两下拖了两下发现没什么 然后老规矩F12查看有没有提示信息 发现有这么一段代码,可以对页面传参cat,传cat='dog’就执行了一段代码,不知道是什么,尝试了一下直接出了flag… [SUCTF]EASYSQL 进入发现是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值