CTF总结之WEB

最新推荐文章于 2024-08-23 09:00:00 发布
最新推荐文章于 2024-08-23 09:00:00 发布
阅读量432 收藏 6
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43647628/article/details/117064646
版权

文章目录

1.工具

火狐浏览器,HackBar,BurpSuite

2.信息收集类解题

信息收集的题目考题一般是收集关于目标网站的信息,如前端页面提示与HTTP源码、返回包请求包信息、网站路径文件等,根据这些信息分析得到flag。简单的题目是直接在源码中就可以获取到flag,复杂些的需要深入收集信息。
在这里插入图片描述

3.前端代码类解题

前端代码的题目考题一般是分析HTML、JS代码、修改HTML与JS代码,满足代码中的某些要求,或利用控制台浏览器解析混淆代码,才能获得flag。

4.HTTP协议类解题

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5.SQL注入攻击

动态页面有时会通过脚本引擎将用户输入的参数按照预先设定的规则构造成SQL语句来进行数据库操作,SOL注入攻击指的足通过构建特殊的输入作为参数传入Web应用程序,改变原有的SQL.语句的语义来执行攻击者所要的操作,其主要原因是程序没有采用必要的揩施避免用户输入内容收变原有SQL语句的语义。
在这里插入图片描述

5.1.经典万能密码

在这里插入图片描述

6.文件上传漏洞

6.1.文件上传流程和上传攻击

在这里插入图片描述

6.2.WebShell

在这里插入图片描述

7.文件上传漏洞

7.1.上传检测方式

  • 客户端JavaScript检测
    在这里插入图片描述
  • 服务端MIME类型检测
    在这里插入图片描述
  • 服务端文件拓展名检测
    在这里插入图片描述
    在这里插入图片描述
  • 服务端内容检测
    在这里插入图片描述

8.文件包含漏洞

在这里插入图片描述
在这里插入图片描述

醉等佳人归
关注
专栏目录
CTF总结-WEB
qq_42747131的博客
05-12 2123
WEB知识点整理 常见的备份文件格式:.git .svn .swp .svn .~ .bak .bash_history 比如主页文件是index.php,那么它的备份可能就是index.php.bak,此时直接作为url输入即可下载备份, 如[ www.baidu.com/index.php.bak ](然而百度的并不能) robots协议:参考博客 cookies、会话:参考博客1、参考博客2 GET转POST:参考博客 主要是记住这句话 Content-Type: application
CTF web总结
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF wed安全(攻防世界)练习题_ctfweb题目
最新发布
A_991128a的博客
08-23 670
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。然而,值得注意的是,Robots协议并不是防火墙,也没有强制执行力。内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
CTF Web方向考点总结
qq_41513009的博客
09-20 1万+
ctf web考点总结
最全CTF Web题思路总结(更新ing)
yjprolus的博客
02-12 5万+
个人向CTF Web题思路总结笔记
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结
CTF工具之御剑后台扫描(web).rar
09-16
总结,御剑后台扫描工具是CTF竞赛和Web安全研究的重要辅助手段,它可以帮助我们发现和修复网站后台的潜在风险。然而,作为安全从业者,我们必须时刻牢记,工具只是手段,理解和应用安全理念才是关键。
ctfweb题型总结大全(例题wp都有)
04-17
欢迎关注hacking水友攻防实验室,更多内容都在微信公众号
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF/web
05-15 103
题目简述:做法1.动图:查看源代码2.计算器:打开控制台ctrl shift c,修改mathmax3.$_get:在url后添加?what=flag4.$_post:查看源码,使用firefox hackbar 进行post data5.矛盾:is_numeric() 函数用于检测变量是否为数字或数字字符串。读代码,明确要求满足不为数字且值为1输入即可获得flag//你要知道1的任何次...
CTF——web个人总结
recover517的博客
05-28 1万+
包含个人总结的解题思路、注入思路、文件包含思路、源码审计思路等
CTF WEB总结
热门推荐
夏日 の blog
02-06 11万+
1.http协议报头 使用referer字段来伪造来源 问:某些页面要求你必须要通过http://www.xxxx.com进行访问? 答:增加一个referer字段 Referrer:http://www.xxxx.com (题目要求的url) 使用X-Forwarded-For来伪造ip 问:题目要求必须是某个ip地址如1.1.1.1,才允许访问。 答:增加一个X-Forwarded-For字...
CTF-Web 类型总结.......
weixin_30362233的博客
07-17 498
1.Git泄露 2.代码审计 * php弱类型(==,===的问题) -https://cgctf.nuptsast.com/challenges#Web 02 ** ==是比较运算,它不会去检查条件式的表达式的类型 ** ===是恒等,它会检查查表达式的值与类型是否相等。 ** 当==比较数字和字符串的时候,会将字符串转换为数字在进行比较   1...
CTF|WEB学习总结
weixin_43340821的博客
08-07 1503
目录SSHSMB信息泄露FTP服务后门利用Capture the Flag SSH GET -从指定资源请求数据:用GET给后端传参的方法:在?后跟变量,不同变量之间用&隔开 POST- 从指定资源提交要被处理的数据 robots.txt:爬虫协议文件:存放于网站根目录下的ASCII编码的文本文件,存放不允许搜索引擎探测和允许探测的文件名 信息探测 渗透:针对服务器的漏洞探测,进行对应数据包的发送,获取机器最高权限。‘ – nmap -sV 靶场IP地址 挖掘开放服务信息 探测靶场开放的服务与服务
CTF WEB套路总结
2301_79880725的博客
01-28 1038
----+----------+----------+ | id | username | password | +----+----------+----------+ | 1 | 2 | 3 | +----+----------+----------+ 1 row in set (0.00 sec) #大小写绕过。strcmp(str1,str2):若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回 -1,其它情况返回 1。
CTF web总结--sql注入
bob的博客
08-30 1615
<?php include "common.php";if (isset($_POST["name"])){ $name = str_replace("'", "", trim($_POST["name"])); if (strlen($name) > 10){ echo("<script>alert('too long')</script>"); }else{ $sql
ctf-web
weixin_43150428的博客
11-04 2788
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
ctfweb
weixin_64581094的博客
12-06 108
ctf弱类型
CTF-web
sleepywin的博客
03-05 98
CTF学习
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值