web学习(一)

最新推荐文章于 2022-09-16 11:10:20 发布
最新推荐文章于 2022-09-16 11:10:20 发布
阅读量383 收藏
点赞数 2
分类专栏: ctf web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46041723/article/details/109277628
版权

极客大挑战学web(一)

前言

没错,喜欢混子的我来水博客了,前几天想水一篇整徽章的结果给忘了,害!!!

正文

话不多说,直接上做题记录

EZwww

打开题目
打开题目
发现了一只萌妹纸,好吧,言归正传,翻译了一下提示的,发现是我可以用post方式得到我想要的,然后我就post了好多东西没post出来个小老鼠,就拿出御剑扫了一下,发现了御剑扫描结果
那就直接打开下载zip文件,打开发现了一个flag文本文档
假的
不用想,肯定是假的,直接放弃这个,打开了一个index.php的文件,发现了源码部分

<html>
 <head>
  <title>Lola's website1.0</title>
 </head>
 <body>
 <?php echo '<h1>welcome to my website</h1>'; ?>
 <?php echo '<p>i will never forget to backup my website......</p>'; ?>
 <?php echo '<img src="img/lola.gif" alt="welcome~"/>'; ?>
 </body>
</html>
<?php
$key1 = $_POST['a'];
$key2 = base64_decode('c3ljbDB2ZXI=');
if($key1 === $key2)
{
    //this is a true flag
echo '<p>SYC{xxxxxxxxxxxxxxxxxx}</p>';
}
?>

所以就base64解码$key2 = base64_decode('c3ljbDB2ZXI=');
得到
解码
然后就post
得到flag

ctf.show_web5

打开题目,发现代码时PHP代码审计。
原题代码

<?php
        $flag="";
        $v1=$_GET['v1'];
        $v2=$_GET['v2'];
        if(isset($v1) && isset($v2)){
            if(!ctype_alpha($v1)){
                die("v1 error");
            }
            if(!is_numeric($v2)){
                die("v2 error");
            }
            if(md5($v1)==md5($v2)){
                echo $flag;
            }
        }else{
        
            echo "where is flag?";
        }
    ?>

然后先观察,发现代码表达的意思是字符串v1v2要一个是纯字符的字符串,一个是纯数字的字符串,然后两者的MD5加密过后的值还要相等。这在常理来看是不可能的。
但是仔细观察两者的比较形式,发现两者的判断相等是用==进行判断的,那么就给了我可操作的空间了。
因为在判断时字符串默认转化为数字进行比较。所以就可以令两者的MD5加密后的字符串进行数字转化后的值相等。所以最终payload为http://618ddab3-7d92-4d09-ab8a-91affc090305.chall.ctf.show/?v1=QNKCDZO&v2=240610708,别问我怎么得到这两个数的,问就是现成的。最后推荐一位大佬的博客

ctfshow web6

这个题目打开提示题目提示
所以猜测是sql注入,判断注入点,然后存在一个空格过滤,用/**/代替。然后别的就和一般的联合查询注入一样。得到flag

尾声

算了,博客就水这样吧,太菜了

墨子轩、
关注
专栏目录
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
杨秀璋的专栏
07-31 10万+
最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官!
Python Web开发(一):Web开发简介
热门推荐
Hello大家好,我是Dream,如果帮得到你,那我深感荣幸!交流学习、商务合作:https://bbs.csdn.net/topics/614347534
07-01 4万+
Python Web开发一:Web开发简介
Web基础学习
m0_62069822的博客
05-20 622
文章目录一、网页二、Web标准1.为什么要有Web标准?2.Web标准的构成三、五大浏览器 一、网页 网页是构成网站的基本元素,是承载各种网站应用的平台。通俗地说,创建出的网站就是由网页组成的,如果它只有域名和虚拟主机而没有制作任何网页的话,客户仍旧无法访问该网站。 网页是一个包含HTML标签的纯文本文件,它可以存放在世界某个角落的某一台计算机中,是万维网中的一“页”,是超文本标记语言格式(标准通用标记语言的一个应用,文件扩展名为.html或.htm)。网页通常用图像档来提供图画。网页要通过网页浏览器来阅
web学习日志-html
npu_lbx的博客
07-07 482
这两天,从学习html开始,初次接触web前端。这次学习中,我第一次上手开始写网页,发现网页也不是那么神奇,并不是凭空而来,也是一句句语言组建而成的。 HTML有自己的语言格式,通过一些固定的语法,可以写出一的网页的基本元素,标题<title>,段落<p>,还可以链接一些其他网站<a href="url">,图片<img src>。在这里,还可以插入表格,列表,还可以自己定义网页的背景,字体的颜色,大小,格式。
Bugku——welcome to bugkuctf(一道练习php://filter和php://input的好题)
csu_vc的博客
10-28 9394
查看源码有提示<!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){ echo "hello admin!<br>";
极客大挑战2020wp
Atkx's Blog
11-29 1495
Crypto 二战情报员刘壮 简介:你能知道刘壮在说什么?得到的flag包裹上SYC{} .-…/.----/…-/–…/…/…-/…-/-./–./…–.-/…/…–.-/–…/.----/-.–/.---- 提示:刘壮早上起床打摩丝 提交flag,发现错误,转换成小写还是不对,查看了一下群里给的hint,成功提交 铠甲与萨满 简介:YEI{roafnagtmroafnagtm_hgtmhgtmhgtm} 提示:kaisa? 偏移量为6时,得到flag MISC 一“页”障目 作者:lingze 简
web学习路线
仰起嘴角
04-09 1万+
前言 本文主要面向对象是web小白(或者和我一样只有一点基础的) 本文更偏向于web后端学习路线 本文所讲述的后端部分主要是Java web 些许兴趣 在正式开始学习之前,肯定是需要先小聊一波的啦。 俗话说得好,兴趣是最好的老师。我也一直很赞同这话,比如我自己喜欢的东西我一个人做着都忒起劲儿,要是我不喜欢的东西,就是给我很大的诱惑那也没法(或许这样的想法是不对的,也难怪我和大佬之间...
Python Web开发--Django框架:全套学习路线和知识总结
Hello大家好,我是Dream,如果帮得到你,那我深感荣幸!交流学习、商务合作:https://bbs.csdn.net/topics/614347534
08-10 4万+
Python Web开发--Django框架:全套学习路线和知识总结
学习Web前端的心得
apple_52518627的博客
08-15 3564
文章目录 学习前端的背景 一、HTML概述 二、CSS概述 总结 背景 小的今年22,刚毕业,在大学度过了3年的快乐时光,专业是计算机应用技术中的UI设计,至于为什么选择这个专业,是因为有个刻板印象就是学什么专业以后就会从事什么工作。 都说兴趣是最好的老师,填志愿的时候,真是不知道自己兴趣是什么,也没有很宏大的理想,考的又差,最终考虑的结果是喜欢玩游戏所以选择了计算机,然而我学的这个专业在那个学校当时是第一次招收专科,我很荣幸成为了第一批小白鼠。 浑...
JAVA WEB学习心得
weixin_44387373的博客
09-16 1843
Javaweb学习心得
从零开始,学习web前端之HTML基础
喻志强的博客
02-28 1万+
web前端之html基础
Welcome to my website
weixin_33828101的博客
06-28 391
论坛: http://106.187.55.92/bbs 电子商店: http://106.187.55.92/eshop 导航123: http://106.187.55.92/daohang123 转载于:https://www.cnblogs.com/technical/archive/2012/04/07/2435598.html...
2020年极客大挑战WEB部分WP
satasun的博客
11-23 1810
WriteUP Welcome 题目地址: http://49.234.224.119:8000/ 题目描述: 欢迎来到极客大挑战! 访问题目链接,发现405报错。 百度了一下,发现是GET或者POST请求出问题了。拿Postman试一下: 看了一下需要POST上传一个roam1,roam2,这两个的值不能相等,哈希值要相等,好了,传入数组。 因为各种哈希都无法对数组进行操作,会返回False。然后又因为False === False => True,所以顺利绕过~ 在phpinfo里面找找可以
web开发类博客推荐【资源分享】
weixin_33832340的博客
08-13 358
网络开源和技术创新使得Web开发领域正在迅速变化,网络开发技术迭代更新也非常快速。网络时代,所谓的“专家”通常都是善于学习的那一批人。因此,随时关注和跟进行业最新状态对于网页开发者来说应该是一项充满挑战性也是必须的工作。值得庆幸的是,无论是学习新的ux设计应用程序还是跟进最新趋势,你都可以通过这些优秀的网页开发博客轻松了解当前最新的网页开发信息和技术。以下是摹客为大家整理的11个最好的Web开发博...
Welcome to my picture website: www.picvew.com
daineng的专栏
07-13 1105
visiting on 0 am - 9 am is welcomed coz i dont debug it at that time. 
ctf.show
qq_46041723的博客
10-04 5883
这里写目录标题前言web4 前言 最近做题get到了一些之前,没接触过的题型,就来记录一下。 web4 打开题目发现: 看到PHP代码,想到get 方式传一个url参数php://input,然后post 一个一句话木马进去,用蚁剑连接。然后发现页面提示error。 接着想用data协议试一下,还是提示error。 蚁剑连接之后也是错误。 接着就直接url后跟了一个一句话木马。发现可以了。 然后就连接 提示返回数据为空。就在brupsuit抓包发现一句话木马被编码了。修改回来。 结果页面提示400
ctf-python题记
qq_46041723的博客
11-15 1115
python前言fastapi简介fastapi安装使用题目做题过程的payload部分解析后记 前言 上次做ctfshow的1024挑战杯,发现web题都没见过的题型,因此没有全部记录下来,这次特意对其中一个题进行一个较为详细的记录 fastapi 简介 fastapi是高性能的web框架。他的主要特点是: 快速编码 减少人为bug 直观 简易 具有交互式文档 基于API的开放标准(并与之完全兼容):OpenAPI(以前称为Swagger)和JSON Schema。 fastapi安装使用 大师傅
平静的ctfshow 1024杯(部分writeup)
qq_46041723的博客
11-15 1001
1024前言MISC一 、签到重新签到兔耳 前言 平淡的一周又开始了,学习从变菜开始!!加油 MISC 一 、签到 打开题目,提示下载压缩包,解压之后发现了两个文本文档 在说明(提示)里面讲到 所以先理出来自己对于这个题的思路。 一、flag是一个连续的字符串,在文档中包含,但是不会是完整的。 二、上一个目标的第二个数值是下一个目标的第一个数值。 三、其他的没看懂,可能是因为菜。 然后就用notepad++ 打开,进行搜索。首先尝试ag ,发现运气不错。 当然有很多个目标,但是经过尝试之后只有这个是正确的
DVWA靶场之蛮力攻击三种等级解析
qq_46041723的博客
10-18 843
DVWA前言DVWA简介DVWA搭建做题(一)蛮力攻击 前言 闲来无事,刷各大平台的题刷的有点头昏,就来换了个菜,这才发现我是真的菜!!! DVWA简介 DVWA搭建 做题(一)蛮力攻击
Java Web学习路径与核心技能解析
"这是一份全面的Java Web学习导图,适合新手参考,涵盖了从JavaSE基础到JavaEE高级特性的完整路径。" 在Java Web学习过程中,首先要掌握的是JavaSE的基础,这是所有Java开发的基石。JavaSE包括了Java语言的基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值