CTF——web安全(五)

已于 2024-04-25 09:04:54 修改
阅读量373 收藏 2
点赞数 14
文章标签: web安全 安全
于 2024-04-24 22:11:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45215609/article/details/138168170
版权

 web安全实战:题目来源:首页 - Bugku CTF

1、题目一:game1

解题步骤:

ctf中游戏类题目,首先考虑的就是如何通关游戏得到信息,那么这个游戏就该考虑如何通关了。这是网页游戏,通过在网页交互进行,想要找到解题思路,应当相当从交互中的数据包入手,而数据包的查看本次使用浏览器自带的开发工具,当然也可以使用burpsuit,这里不做描述。

① 玩游戏:打开游戏至少玩一局,以便能够捕捉到游戏的请求数据包。(提示:在玩游戏之前先右键打开检查,然后再开始玩游戏,等游戏结束再打开第②步所述的网络请求,接着以下步骤进行)

② 抓包分析:在游戏结束后,使用浏览器的开发者工具(如F12)查看网络请求,关注那些与分数提交有关的请求,特别是GET请求,我们发现如图这条,通过get请求发送了分数,score=,另外后面还有一串以==结尾的代码,知识点==号结尾一般是base64编码,发现正是score的base64加密写法。

③ 修改score的值: 尽可能把score的值改的很大,我这里没有找到对应的多少分数达到通过所以直接改大,例如:99999。

④ 修改sign值:通过修改sign值来尝试不同的组合。sign的构成可能是“zM”+分数的base64编码+“==”。例如,如果在游戏中获得了50分,则50的base64编码是NTA=,那么sign可能是zMNTA==的形式。

⑤ 提交请求:使用修改后的参数值构造一个新的GET请求,并提交给服务器。

⑥ 获取flag:如果构造的请求正确,您将收到包含flag的响应。

懵懵懂懂的网工
关注
  • 14
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
【HackPack CTFWEB——持续更新中
12-21
题目地址 ...打开是酱紫 sui便打开一个404找不到 先演示错误思路: Plan A.... 上bp抓包,Ctrl + I,爆破点为/后的数字比如1,sniper狙击手模式, ...playload 用runtime file ...换思路,找宝藏,要想有地图,hi
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
04-22
"河南省网络安全高校战队联盟CTF训练营-web文件上传第一期" 这个标题揭示了本次训练的主题,主要聚焦于网络安全领域中的一项重要技能——Web文件上传漏洞的利用与防御。CTF(Capture The Flag)是网络安全竞赛的一种...
GDOUCTF比赛WEB&CRYPTO方向全解!!
jayq1的博客
05-09 2093
本次wp的制作过程耗时比较长,也有一些代码源于大佬师傅们的exp,进行了一定的详细解释,有助于刚开始学习的师傅们可以看的懂,整体是比较细节的,会一步一步带大家去解题,一步步说明为什么要这样解题,题目考查了哪些知识点,希望对大家有所帮助!如有不当之处敬请批评指正!
CTF-WEB篇 攻防世界题目实战解析baby_web
2301_76565920的博客
04-21 676
题目:baby_web 难度:1。index.php,抓包,查看header
CTF-Web18(玩游戏)
weixin_47059164的博客
08-24 464
不要着急,休息,休息一会儿,玩101分给你flag知识点:unicode编码,js前端验证发现逻辑,找出结果。
Bugku-CTFweb 持续更新) ——新手ctf记录
xy7850的博客
09-22 2304
目录 1、滑稽 2、计算器 3、GET 4、POST GET和POST的区别: 5、矛盾 6、alert 7、你必须让他停下 1、滑稽 进入场景,发现一堆滑稽表情在飞 直接F12 2、计算器 进入场景,一道数学题,但是只能输入一个数字 F12,可以看到输入框的标签的maxlenth=1 成2,就可以输入两个数字了,验证就得到了flag 3、GET 进入场景看到php源码,以get请求传入what=flag get,通过拼接url进行传递参
CTF工具之antsword(web).rar
09-16
【antsword(web)——CTF中的Web渗透测试利器】 antsword是一款专为CTF(Capture The Flag)比赛设计的Web安全工具,它主要用于Web应用程序的安全评估和渗透测试。在网络安全领域,CTF是一种通过解决一系列安全挑战...
Web应用安全:Burpsuite重放模块介绍.pptx
06-20
Web应用安全测试中,Burp Suite是一款不可或缺的工具,其中的重放模块——Burp Repeater,是手动验证HTTP消息的强大工具。它允许安全研究人员多次重放请求响应,并在修请求后分析服务器的响应,以检测潜在的安全...
西普WEB大部分题解
12-09
【标题】"西普WEB大部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
网络安全防御【防火墙NAT智能选举综合实验】
miss_copper的博客
07-13 737
需要新创建一个源地址转池:这里我们将配置黑洞路由勾选(防止路由环路,还可以引入到OSPF等动态路由协议中发布出去),允许端口地址转换取消勾选(因为我们这里是多对多的NAT,源NAT地址转换,如果勾选了端口地址转换,就成了端口映射,成了目标NAT)这种方式可以提高安全性,因为攻击者无法预测目标设备的确切IP地址。首先修公网client5,和分公司server5和client6的域名服务器地址,并且公网中的server4(NDS服务器)开启DNS服务,和分公司的server5开启http服务器。
java配置nginx网络安全,防止国外ip访问,自动添加黑名单,需手动重新加载nginx
weixin_44006009的博客
07-13 86
创建一个类,自己添加一个main启动类即可测试。通过访问日志自动添加国外ip黑名单。
网络设备安全
weixin_48579910的博客
07-11 840
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
智能车存在网络安全隐患,如何应设计出更好的安全防护技术?
tigerman20201的博客
07-13 153
然而,高度的网络化和智能化也使智能车面临着严峻的网络安全挑战,如远程攻击、数据泄露和恶意控制等。未来,随着技术的不断发展,应持续加强对智能车网络安全的研究和创新,以应对不断变化的安全威胁。摘要:随着智能车技术的迅速发展,车辆的网络连接性不断增强,然而这也带来了诸多网络安全隐患。本文深入探讨了智能车面临的网络安全威胁,并提出了一系列创新的安全防护技术设计,旨在为智能车的安全运行提供更可靠的保障。黑客可以通过公共网络对智能车的通信系统进行攻击,干扰车辆的正常运行,甚至获取车辆的控制权。
智能车的网络安全隐患及其防护技术
tigerman20201的博客
07-13 106
本文分析了智能车的主要网络安全威胁,包括车辆通信系统、自动驾驶系统、以及车载娱乐系统的潜在风险。在此基础上,提出了多层次的安全防护技术,包括加密通信、入侵检测系统、以及区块链技术等,以提升智能车的网络安全水平。智能车的网络安全是一个复杂且重要的问题,需要多层次、多方面的技术防护。通过加密通信、入侵检测系统、区块链技术等多种手段的结合,可以有效提升智能车的安全性,保障乘客和行人的安全。未来,随着技术的进步和标准的完善,智能车的网络安全将得到进一步的保障。**题目:智能车的网络安全隐患及其防护技术**
【网络安全】APDCL:IDOR + 账户接管
等风来
07-13 561
APDCL ,即印度阿萨姆邦电力分销公司(Assam Power Distribution Company Limited),是印度阿萨姆邦政府控制的公共部门企业,负责电力分配和供应服务,确保电力供应的稳定性和可靠性,以满足居民、工业和商业客户的电力需求。
7.13实训日志
最新发布
Kidding_Ma的博客
07-13 125
作为一名大学生,我深感有责任在今后的学习和职业生涯中,为推动网络安全技术的发展和应用做出贡献,保障数字化社会的安全和稳定发展。在技术方面,我们学习了多种编程语言和工具的应用,如Python用于爬虫和脚本、Java用于代码审计和漏洞挖掘、C语言用于二进制漏洞挖掘等。会上,专家学者们分享了关于网络安全最新的研究成果和技术应用,以及面临的挑战和未来的发展方向,给我留下了深刻的印象和启发。学习网络安全的过程中,我们深入了解了网络的不同层面和技术,从表层网络到深网再到暗网,以及涉及的产业分类和技术工具。
网络安全合规建设
weixin_68864415的博客
07-09 859
简单介绍了企业网络安全合规的问题
CtfHub-wp(web
01-23
在网络安全竞赛(CTF,Capture The Flag)中,Web部分常常涉及到对网站源码、配置文件或隐藏数据的挖掘,以获取关键信息——即所谓的"flag"。在这个ctfhub的Web挑战中,我们需要了解并运用多种技巧来揭示这些隐藏的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值