bugku web题解

最新推荐文章于 2024-03-27 21:26:49 发布
最新推荐文章于 2024-03-27 21:26:49 发布
阅读量232 收藏 1
点赞数 1
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45816524/article/details/120425384
版权

1、Simple_SSTI_1:在这里插入图片描述

打开场景
在这里插入图片描述
查看一下网页源代码
在这里插入图片描述
flag在secret_key下
以get方式传递参数flag={{config.SECRET_KEY}}即得到flag。
也就是114.67.246.176:18677/?flag={{config.SECRET_KEY}}
在这里插入图片描述

SECRET_KEY是config配置里面的一个值
淅见.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Bugkuweb题解
Lemon's blog
08-21 2547
前言:最近做了一些Bugku入门的web题目,感觉web题挺有趣的,并非是得出flag,而是可以通过一个题目学习到很多知识。 域名解析 题目说把 flag.baidu.com 解析到123.206.87.240 就能拿到flag,如果了解域名解析的原理和系统文件host的作用,那这道题就很简单了。 通俗的话说:域名是为了我们方便记忆,但计算机识别的是IP地址,所以要将域名解析为IP地址才能访问到自...
bugku web题总结
h0ryit的博客
06-12 1645
陆陆续续将bugkuweb题刷了一大半,剩下的都是分比较高的难点的题,做题过程中遇到了很多的问题,大部分题就没离开过write up,不过还是学到了很多,因此想做一个总结。 线索收集 拿到一个ctf题的第一步就是收集信息,特别是一些隐藏的提示信息,否则会寸步难行。 常见的信息点 网页文档的DOM信息 网页注释 有些题会在网页注释中给出提示信息,比如给出一部分源码之类的...
bugku题解-web
qq_51775369的博客
10-08 1781
1.滑稽 进去发现很多滑稽脸,直接f12开发者,就能看到flag 2.
Bugku 模板注入做题
Goodric的博客
04-27 1045
Bugku 模板注入做题 Simple_SSTI_1 打开场景,页面只显示了一句话,意为:您需要传入一个名为flag的参数。 现在知道传入参数,但是不知道参数 flag 的值是多少。 尝试传入,发现后面的值会在页面上执行出来。 F12 打开源代码,看到有一行注释。大概意思是会设置一个 secret_key 变量。 大概 flag 就在这个文件中。 这里涉及的知识点是服务端模板注入,先对 SSTI 进行了一些学习: 可以用{{config}}获取当前设置,构造 payload: ?flag={{con
Flask框架中环境变量的配置
IT之一小佬的博客
08-13 2344
Flask框架中环境变量的配置
BugKu 刷题笔记】【Simple_SSTI_1】
一个程序员
02-20 1456
文章目录0x01 题目0x02 题解0x03 知识点1. flask 与 secret_key2. 模板注入 0x01 题目 0x02 题解 输入url为: http://114.67.175.224:19636/?flag={{config.SECRET_KEY}} 即可得到flag 0x03 知识点 初学者, 在网上搜解题思路很容易可以找到。 但是不知其所以然所以整理一下知识点: 包含以下知识点: 1. flask 与 secret_key flask是一个轻量级的可定制框架,使用Python语言
/?flag={{config.SECRET_KEY}}这里面?是什么意思
waqdm的博客
08-29 262
如果一个网页链接后面添加了/?flag={{config.SECRET_KEY}},那么最后的网页链接会是类似以下的形式:其中,"example.com"是网页的域名,"secretkey"代表config.SECRET_KEY变量的值。具体的值会根据应用程序或网站的设置而定。
西普WEB大部分题解
12-09
【标题】"西普WEB大部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
CyBRICS CTF Quals 2019 Web 题解1
08-04
在CyBRICS CTF Quals 2019的Web挑战中,参赛者遇到了一系列涉及前端、后端以及加密解密的问题。以下是针对题目提供的部分解题思路和知识点的详细说明: 1. **Warmup**: - **URL重定向**:这个挑战中,网站最初...
PAT甲级所有题解代码
02-03
这里包含了179道PAT甲级的代码AC题解,供有需要通过PAT考试的同学下载学习使用。
洛谷CF1458B题解
02-05
有关CF1458B的题解
第 14 届蓝桥杯国赛Web题解源码+项目说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...第 14 届蓝桥杯国赛Web题解源码+项目说明.zip
<Bugku>web的解题思路与过程
weixin_45664911的博客
11-03 819
Bugku (https://ctf.bugku.com/) 第一题:web2(http://123.206.87.240:8002/web2/) 查看源代码:Ctrl+U 检查: Ctrl+Shift+I 查看源代码只可查看代码,不可修改。检查两者兼可。 查看源代码 绿色字体即为flag 第二题:随机数字验证码(http://123.206.87.240:8002/yanzhengma...
flask app.config['SECRET_KEY'] = '123456'
linghugoolge的博客
12-30 3849
问题: 在flask项目中,Session, Cookies以及一些第三方扩展都会用到SECRET_KEY值,这是一个比较重要的配置值。 在使用flask时,我产生了这个错误:the session is unavailable because no secret key was set. Set the secret_key on the a...
BugkuWeb题目解析
北观止的博客
07-31 7842
BugkuWeb 1.web2 解析: 源码中有注释 答案: KEY{Web-2-bugKssNNikls9100} 2、计算器 题目出现了一个很简单的验证码,只要输入正确就可以获得flag,但是尝试后发现题目的输入框只能输入一个数字, 果断审查元素,发现了输入框的最大长度被设置成了1,于是修改输入框的maxlength属性为5 输入结果就可以了 来自 https://www.cnblogs.com/kele1997/p/7595839.html flag{CTF-bugku-0032} 3.Web基础$
bugku web题集锦
skysys的研究小屋
06-01 1247
变量1 <?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ die("args error!"); } eval("var_dump($$args);"); } ?> 正则在线测试:ht
bugku web方向所有题解
kekefen01的博客
04-18 3076
第一题F12,第二题打开js文件,第三题 get参数 第四题转换成post请求最后空一行加入what=flag 注意最后不能加回车,不然会把what的值认为是"flag\n" 可以转换post加入参数,再转成get再转换成post 第五题php弱类型 num=1df 随便什么,反正$num==1都能通过 $num=$_GET['num']; if(!is_numeric($num)) { ech...
BUGKU web解题加学习
2401_82733038的博客
03-27 237
打开环境 然后查看源代码 发现只能上传.jpg.pen的文件 所以新建一个文件内容为import os (换行) os.system('ls /') ,修改文件类型为png,上传,在网页源代码注释中查看目录,发现flag 重新编辑文档 import os (换行) os.system('cat ../flag'),修改上传,显示flag。flag={{config.SECRET_KEY}}flag={{config}}打开以后发现一堆字母 直接查找flag文件 然后cat得到flag。
开题报告宠物医院管理系统的设计与实现 已通过开题答辩的.docx
最新发布
07-25
随着人们生活水平的提高和精神需求的增加,宠物已经成为很多家庭的重要成员,宠物市场的规模和潜力也不断扩大。宠物医院作为宠物健康保障的重要机构,需要适应市场的发展和变化,提供更加专业和便捷的服务。宠物医院的业务和信息涉及多个方面,如科室信息、医生信息、坐诊信息、药品信息、挂号信息、网站公告信息等。如果采用传统的手工或半自动化的管理方式,会造成信息的分散、混乱、更新困难、查询不便等问题,影响管理的效率和质量。系统能够通过计算机技术和网络技术对宠物医院业务进行集中管理。它可以实现信息的录入、存储、查询、修改、删除、统计、分析、展示等功能,方便宠物医院的管理人员和工作人员进行业务操作和决策支持。宠物医院管理系统还可以利用网络技术,向宠物主人和宠物爱好者提供在线的服务和咨询,方便宠物主人和宠物爱好者了解和关爱自己的宠物,增强宠物医院的社会影响力和竞争力。综上所述,宠物医院管理系统是一个具有实际意义和应用价值的选题,它可以为宠物医院的管理和服务提供有效的支持,为宠物主人和宠物爱好者提供便捷的服务和咨询,为宠物的健康和福利做出贡献。
Web页面设计面试题解:核心技术与安全传输
Web页面设计是一个灵活且富有经验积累的领域,它并非遵循固定模式,而是通过实践不断优化和创新。在面试过程中,企业不仅关注应聘者对于基础知识的掌握,如FORM表单、CSS样式、DIV布局、JavaScript、Ajax以及jQuery...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值