攻防世界--url

最新推荐文章于 2025-02-12 16:54:20 发布
最新推荐文章于 2025-02-12 16:54:20 发布
阅读量1.5k 收藏 1
点赞数
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/122419890
版权

进入后页面显示no url,然后就没有其他的了,结合题目,猜测是url为参数

通过测试发现是以POST方式传参url

尝试使用伪协议读取文件

参考WP发现只有当text位置为www.baidu.com时才不会报错

base64后为,即可获得flag 

参考文章:

CTF中常用的php伪协议利用 - 1ndex- - 博客园

Uzero.
关注
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 可以通过view-source:的方法来访问源码:html view-source:http://10.10.10.175:32796 在url中提交后便可访问页面源码,在源码中可找到flag。
攻防世界 web高手进阶区 10分题 url
闵行小鱼塘
10-19 1772
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是url的writeup
get post(请求码)
二月鸟
09-20 253
1、url可见性: get,参数url可见; post,url参数不可见 2、数据传输上: get,通过拼接url进行传递参数; post,通过body体传输参数 3、缓存性: get请求是可以缓存的 post请求不可以缓存 4、后退页面的反应 get请求页面后退时,不产生影响 post请求页面后退时,会重新提交请求 5、传输数据的大小 get一般传输数据大小不超过2k-4k(根据浏览器不同,限制不一样,但相差不大) post请求传输数据的大小根据php.ini 配置文件设定,也可以无限大。 6、安全性 这
攻防世界-GA[Misc]流量分析1(pcapng筛选 + URL解码,代码分析)
最新发布
Future_Hk的博客
02-12 483
通过URL解码后 对代码进行分析 得到flag
CTF学习——攻防世界
2301_80143258的博客
10-19 476
post方式:先点击load url提取url,然后选择post data,再根据题意在post输入框内输入b=2,点击execute发送,获取到flag。第一行user-agent的*是适用于任意的浏览器,后面的是不允许访问(爬虫)后面的两个文件夹和文件,在URL中输入“/文件名”即可。先点击load url提取url,再根据题意在url后输入/?robots协议是一个君子协议,不是硬性要求,我们可以去爬取,但是可能会承担法律责任。打开页面,如下,输入127.0.0.1,查看命令执行结果。
攻防世界 web 篇
qq_41071646的博客
05-30 1128
最近无事 想刷刷web题 来玩玩 不想看pwn还有re~~~ 复习什么的 也不是干@@@@@@ 然后刷的平台攻防世界 毕竟感觉哪里的题 感觉适合入手 robots 这个协议我确实知道 在学习python 爬虫的时候看的 如果 你不想让搜索引擎来 爬取你网站的信息的话 可以在网站上的 robots.txt 写上这些引擎 (当然对大公司有约束 一般人写爬虫 是不怎么遵守这个约定的)...
攻防世界--WEB高手进阶区(持续更新)
qq_43081170的博客
03-20 1494
baby_web
攻防世界-Web(进阶区)
qwzf
09-05 640
前言 又做了几道攻防世界的Web题,总结一下。 Web1:Cat 题目没提示。点开题目,以为是命令执行。然而几番尝试后,发现并不是。。。 其它也没什么提示,没思路了。偷瞄大佬博客 然后我开始复现,?url=%80产生报错,找到绝对路径。 从配置文件settings.py的报错中查看database的相关信息?url=@/opt/api/api/settings.py ?url=@/opt...
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 7967
攻防世界 -- very_easy_sql
攻防世界misc--流量分析1】
ncnfjdjjd的博客
02-03 1770
延时注入,wireshark ,encodeURI编码
攻防世界--WEB进阶--Web_python_template_injection
m0_46267075的博客
05-28 1295
好难啊
攻防世界---Web---新手模式---backup
11-11
题目描述:在攻防世界的Web新手模式中,有一道名为backup的题目。该题目要求找到备份文件并获取flag。可以通过访问http://your-ip/backup/来查看备份文件,但是需要密码才能访问。我们可以通过查看网页源代码或者...
攻防世界 | WP】CAT
ethan18的博客
02-14 4039
攻防世界 | WP】CAT解题步骤学习知识URL编码什么是URL编码 解题步骤 学习知识 URL编码 什么是URL编码 url编码是一个编码格式,它和utf-8或者GBK编码的区别是url编码是针对除了字母数字之外的字符进行编码,比如说: ASCII码控制字符:字符范围 00-1F 十六进制(0-31 十进制)和 7F(127 十进制) 非ASCII编码格式字符 ...
网络攻防世界
tricker2的博客
08-08 458
废话不多说直接上题 01 本道题切进去 分别点开一探究竟,根据三个的提示,联想到一些结果,首先看URL栏里可以看出大概要写出来的格式,第一个点开可以看出文件名是/flllllllllag这个,所以大概是 file?filename=/fllllllllllllag&filehash=***************************************的内容是md5(cookie_secret+md5(/fllllllllllllag)) ,其次第二个也给了提示渲染函数render(),
攻防世界】web练习区write up
GZWZ_的博客
04-02 1097
虽然我立志成为一名优秀的web手,但真的好难,九敏!!!求一位志同道合的web小伙伴,一起讨论,一起进步哇!(大佬也没事,求带!!)
攻防世界之Web新手练习篇
m0_63944500的博客
11-19 2967
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
XCTF-Web-高手区-easytornado
1stPeak's Blog
06-22 441
题目 解题 1、访问url 点进去看看 2、直接访问/fllllllllllllag文件 发现报错了,但我们发现URL中的Error是我们返回的Error,那么我们再来测试一下 发现可能存在SSTI漏洞,但被过滤了部分参数,所以不能使用 3、这里再回到题目信息easytornado,可以判断出可能是一个python的tornado漏洞 因为我没学过python的框架,就不详细解析了,只写payload 这里我们要访问/fllllllllllllag文件,并且还要filehash正确,那么我们
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
ctf】文件包含漏洞(二)
wlllllianqing的博客
10-07 1697
文件上传漏洞 伪协议 zip:// 图中是一题存在文件包含的题目 这里的url/?index.php?url=upload应该是与upload.php等价 所以我们可以知道,文件包含默认将末尾的文件添加了.php的后缀 绕过方法: 首先写一个一句话木马shell.php接着压缩成zip文件。直接上传zip文件,然后使用shell工具进行连接。 http://地址/index.php?url=zip://上传文件路径#(%23)shell http://localhost/?url=zip:///va
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值