CTF——web安全(一)

最新推荐文章于 2024-05-07 11:50:28 发布
最新推荐文章于 2024-05-07 11:50:28 发布
阅读量549 收藏 7
点赞数 7
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45215609/article/details/137838596
版权
本文介绍了四个web安全实战题目,包括查看源码获取flag、利用计算器功能进行输入验证、GET和POST请求参数控制,以及利用Hackbar工具进行POST请求。作者强调了这些题目旨在测试和提升读者的前端安全知识。
摘要由CSDN通过智能技术生成

web安全实战:

1、题目:滑稽,直接查看源码:题目来源bugku:首页 - Bugku CTF

如下图所示,题目打开是逐步加快的滑稽表情,直接查看源码

快捷键(ctrl+u)直接查看源码,发现flag{aeb4f07958dae6b51c2d87d7843c8d93}

2、题目:计算器,如下图所示,计算正确即可得到flag

题目如下图所示:相加求值,输入发现智能输入一个数字,直接查看源码

如上图所示,发现对输入做了限制,我们F12检查元素,修改这里值为3

得到flag

flag{fca57244aae9f9fa6922290e1beab9b0}

这道题是典型的前端做了限制,xss攻击也是通过类似的漏洞进一步操作的

3、题目:GET

如下图所示,获得参数what,输出what,如果what=flag,则输出flag。

这里在url处传入参数,得到flag

flag{e51c62ad1564074b9ae58aedbc8eced6}

4、题目:POST

如图所示题目,同上题相似,一个是get请求一个是post请求,get请求可以在url中直接写,post请求需要工具,这里使用firefox插件hackbar(工具这里不提供)

如下图,检查页面,使用插件hackbar

如下图所示,hackbar的用法(1)下载url,即当前页面链接(2)选择post请求(3)输入你要传递的参数(4)传递参数execute(5)得到页面返回的flag

flag{070c75210771f53378f8cf91dbd9575f}

作者建议:题目会涉及很多知识点,需要读者耐心学习,这是潜移默化的过程,需要你我共同进步,欢迎各位前辈评论指导。

懵懵懂懂的网工
关注
“百度杯” CTF比赛 十月场 Web-登录
qq_34106499的博客
02-18 1537
1. mysql盲注及脚本编写 2. .git泄露
“百度杯” CTF比赛 九月场 Web-Login
qq_34106499的博客
01-17 638
1. 审查源码需要仔细认真; 2. 抓包查看请求头和响应头,关注陌生属性; 3. php中反序列化的应用; 4.base64编码的使用 5. gzcompress()压缩及gzuncompress()解压的应用。
ctfWEB之后台登录
weixin_30340745的博客
06-02 1785
1、后台登录 格式:flag:{xxx} 解题链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 打开链接: 查看源码,发现一段被注释的代码,有用: 仔细分析这一句: $sql = "SELECT * FROM admin WHERE username = 'admin' and password ...
CTF练习-Web1简单登录
weixin_43992606的博客
06-25 1454
CTF初入门小白,记录题过程。
web——ctf (登陆一下好吗??)
h1012946585的博客
04-08 5764
登陆一下好吗??  不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈!flag格式:ctf{xxxx} 解题链接: http://ctf5.shiyanbar.com/web/wonderkun/web/index.html                     ...
ctf之php序列化,CTF——Web——PHP序列化和反序列化
weixin_35126200的博客
04-01 913
PHP 序列化和反序列化:1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode在进行类的序列化时 私有属性 会加 空白...
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 6578
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
ctfhub——web——xss
weixin_43906500的博客
05-14 265
题目如下,为反射型xss
ctfhub——web——密码口令
weixin_43906500的博客
05-10 548
1.弱口令 题目如下所示,可知是管理后台 用户名尝试使用admin,密码通过爆破获取 使用burpsuit抓包,并将数据包发送到Intruder 选择password参数为payload 加载密码字典 通过响应报文的长度判断正确密码,尝试了burpsuit常用密码,发现失败 后来查找资料,参考:https://www.pianshen.com/article/12811579751/ 将密码作为admin[1-1000]进行破解 破解成功 由此可见,密码字典很重要
CG-CTF——WP(WEB[一])
hahaha233330的博客
12-03 1314
CG-CTF——WriteUp(一) 工具: ①Winhex:图片隐写工具,可通过搜索“ctf”“CTF”“key”“flag”等关键字得到flag。 ②在线工具HtmlEncode/BASE64转换:注意源代码里奇怪的字符串,可以尝试解码(分清类型)。 ③BurpSuite:抓包工具,这个很好用。 ④Wireshark:抓包工具。使用说明: 1、签到题 直接F12查看源代码就可以得到flag...
CTF-WEB 一个登录框SQL盲注
weixin_45887311的博客
04-24 1万+
一些师兄给了个平台,最近学了很多SQL注入和编写脚本的知识,跃跃欲试,结果这一就是漫漫长路,还是很多东西不熟悉啊。 首先找注入点: 发现用户名错误和密码错误会分开提示,可以用布尔盲注,(*^▽^*)好高兴。 但是发现,过滤了空格和 *号,没关系,用括号绕过(这一下搞死我了) 开始尝试编写脚本,结果发现简单的reuqests解析不了<div>标签下的内容 ...
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF-Web2-(简单绕过登录过滤)
→_→
07-14 1万+
登陆一下好吗?? CTF题时,不要忽略任何信息,要先收集信息,再分解信息,对于出题者的信息,不可全信,也不可不信,具体的来说就是要仔细分析,出题者的意图。 那么,根据这一题的信息,我们了解到这是一道过滤了某些字符的登录注入题型,为了进一步了解点击链接开始答题: 打开链接,我们就能看到一个很简单的一个登录页面,我们可以按F12查看前端代码,看是否有隐藏的信息,结果没有,接下来我们就要考虑给出的信息中提到过滤了一切,我们测试一下,看是否过滤了所有的字符: 点击登录: 从返回的信息.
CTF里面的WEB题的一些解决思路
DALE1186487104的博客
04-19 4万+
CTF里面解决WEB题的一些常用思路:(福利:末尾有视频链接)如图( 十八罗汉)                                                                                        PS:(下文的序列号是对图片中序列号的一些补充)WEB题中常用的工具                                    (1...
【和小白一起练习CTF】攻防世界:web基础练习题(1)
xtcc的博客
08-07 3509
robots.txt文档记录了不应该被搜索引擎的漫游器获取的东西 ,它一般放在根目录下,搜索引擎搜索这个网站时,首先访问这个robots.txt,如果它存在,那就按照它上面写的,不允许访问的页面就不访问,如果它不存在,那搜索引擎就可以查阅所有没有口令保护的页面。:打开网页之后,发现有个按钮,但是点击不了,这时按下F12,打开开发者工具,修改网页源代码,去掉disabled,按钮就可以点击了,这时就出现了flag。:这道题目是要我们了解一下网页的备份文件,在了解之后就可以轻松解决这道题目,下面先介绍一下。..
ctf-WEB-login2(sql注入)
god_001的博客
05-12 2671
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔的盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
BUUCTF——Web1
2201_75331136的博客
07-17 758
打开靶机,出现以下页面查看源代码发现Secret.php,访问后出现以下页面接着我们使用bp进行抓包在请求头中添加字段发送请求,出现以下页面根据提示更改User-Agent为发送请求,出现以下页面提示要是来自本地的访问请求,联想到127.0.0.1,需要X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。出现flagflag为。
“天一永安杯” 初赛 2024宁波第七届网络安全大赛暨第九届大学生网络技术与信息安全大赛 题解WP
最新发布
Jay17的博客
05-07 839
“天一永安杯” 初赛 2024宁波第七届网络安全大赛暨第九届大学生网络技术与信息安全大赛 题解WP
BugkuCTF-WEB题login1
am_03的博客
08-29 1359
知识点 存在SQL约束攻击的网站,注册时通过数据库已有账户例如admin+大量空格,随意密码点击注册,后端先在数据库查找select,将已有账户扩充相同长度,已有账户与注册账户(有大量空格)不等,因为有效长度不同(已有账户扩充的长度不为有效长度),之后插入insert,截断注册账户的多余长度,但后面为大量的空格,由于在SQL里执行字符串处理时,字符串末尾的空格符将会被删除,所以最后插入的注册账户即为已有账户admin,密码成为注册时的密码,即可成功登陆。 补充: 简单来说:就是在注册页面通过大量空格来超过s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值