青少年CTF-Web-Easy PingMe攻略

已于 2022-12-09 19:38:19 修改
阅读量1.1k 收藏
点赞数
分类专栏: 网络安全 文章标签: php 开发语言 网络安全
于 2022-11-30 10:55:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50947009/article/details/128111022
版权
本文介绍了在青少年CTF比赛中解决Web-Easy PingMe挑战的步骤。通过命令注入,利用未过滤的分号字符【;】,发现目标目录存在【flag.php】文件。尝试通过【1.1.1.1;cat flag.php】获取flag,但直接提交无结果。最后通过查看源代码,找到了隐藏在PHP变量中的flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目平台:青少年ctf

解题工具:浏览器

前言:根据题目意思得知该题目为命令执行【命令注入】

题目图片:

第一步:启动靶场,然后打开链接查看原型

第二步:开始尝试注入,先测试是否会过滤一些字符之类的操作 这里以【1.1.1.1;ls】进行测试

惊奇的发现题目没有过滤【;】分号字符,决定使用这个符号进行操作,经过这条命令可以得知本目录下还有一个文件名为【flag.php】,猜测flag就在该文件中,所以使用【1.1.1.1;cat flag.php】进行提交查看结果

了解本专栏 订阅专栏 解锁全文 超级会员免费看
青少年ctf擂台挑战赛 2024 #round 1
04-16
### 青少年CTF擂台挑战赛2024 Round 1知识点解析 #### 一、CTF概述与赛事背景 **CTF(Capture The Flag)**是一种网络安全技术比赛形式,参与者通常需要通过解决一系列安全相关的挑战来获取分数。本次青少年CTF...
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
青少年CTF训练平台 Web-Easy PingMe02
xingjinhao123的博客
10-22 1671
青少年CTF训练平台 Web-Easy PingMe02
青少年CTF训练平台 Web-Easy Web签到
xingjinhao123的博客
10-17 1565
青少年CTF训练平台 Web-Easy Web签到
青少年CTF 简简单单的题目
最新发布
qq_42921782的博客
03-07 677
这是一道简简单单的Misc题,你是否沉醉了呢?做这题用到的工具:ARCHPR官方链接010WaterMarkCTF-all-in-one:需要进入官方企鹅群:897531170,在群里联系群主购买使用权,不购买可以使用阉割版的,功能没那么多。
[青少年CTF] easy_web 详解+避坑
明裕学长的博客
03-13 5042
这里坑就来了我们需要使用hackbar先进行一次post传递搭配burp抓包。希望小伙伴们可以一步一步的复现而不是直接填flag那样是没有效果滴!注意这里的回显结果不能出现md5 is funny ~发现它经过了两次base64编码和一次十六进制编码。我们反向操作一波查看index.php的源码。这里可以将img=删除因为我们已经绕过了。这里的%20是url编码是空格。下面在搭配../进行目录遍历。接着我们将post参数替换成。这让我联想到地址栏中的参数。下面我们进行了l\s绕过。解开后发现是图片源码。
[青少年CTF]WebEasy CheckMe1-8 by 周末
个人文章分享
12-03 2629
web部分CheckMe1-8,仅供参考
青少年CTF平台-Web-PingME
zxsctf的博客
10-09 1604
题目难度一颗星,五十分。
青少年CTF】Crypto-easy 题解小集合
zxsctf的博客
01-07 2188
根据提示我们知道是键盘密码,于是联想到手机26键盘和九宫格举个例子,比如附件给出的 ooo yyy ii先看26键,字母o在键盘上所对应的数字是9,在看到九宫格9所对应的有wxyz四个字母,然而字母o出现了三次依次数下去,第一个字母是y原理相同字母y在26键上对应6,九宫格有mno,出现三次第二个字母就是oi对应8,8下面有tuv,出现两次第三个字母就是u,以此类推…然后这就很明显了,接着用核心价值观解密又根据提示得知是栅栏密码解密,栅栏数为6得到最终flag(有些网站解不出来最好多解几次)
青少年ctf练习平台web题解
01-19
### 青少年CTF练习平台Web挑战题解和教程 #### Web EasyMD5 解析 在青少年CTF擂台挑战赛2024 round#1中,有一道名为EasyMD5的题目。这道题目的设计非常适合初学者尝试解决,尽管它要求参与者具备一定的web安全基础...
CTF训练计划—[CISCN2019]Easyweb
Lemon's blog
08-14 1500
前言: 这道题学到不少知识,还卡了很长时间,单独记录一下 [CISCN2019]Easyweb 首先拿到一个登陆框,从这里就要思考是要怎么去做,我在做的时候想到三个方面去尝试 burp抓包看有什么线索没 SQL万能密码注入 页面扫描,看看有什么源码泄露或者robots.txt 前两个都行不通,刚开始页面扫描的时候也没有扫到什么,然后就彻底懵了,后来发现是工具犯病了,再扫一次就出来了 一个robots.txt文件,访问可以发现提示的是备份文件,但没说具体的文件名 就利用排除法,一个一个的去试试,目前知
青少年CTF训练平台 Web-Easy 登陆试试
xingjinhao123的博客
12-02 1389
青少年CTF训练平台 Web-Easy 登陆试试
青少年CTF_WEB
cfy2401926342的博客
01-17 544
青少年CTF_WEB
青少年CTF训练平台 Web-Easy POST&GET
xingjinhao123的博客
10-17 650
青少年CTF训练平台 Web-Easy POST&GET
Web青少年CTF擂台挑战赛 2024 #Round 1 wp
uuzeray的博客
03-01 2704
好家伙,比赛结束了还有一道0解web题是吧(随缘写点wp(简单过头,看个乐就好)
青少年CTF-Web-CheckMe01
zxsctf的博客
10-09 1949
半颗星的简单题,CheckMe01启动题目,并访问。
CTFeasy_web
qq_74263993的博客
03-26 297
尝试了目录遍历以及漏洞扫描但是没有什么卵用,抓了一下包发现是python,所以考虑一下SSTI注入。通过符号列表进行爆破,发现 / 也被过滤了,但是 ︷ 会被解析成 { ,︸ 会被解析成 }打开网站就一个输入框,按理来说这种类型就是注入类型的漏洞了,至于什么注入还不知道。然后就可以进行SSTI注入了。但是好像{{}}被过滤了。下面是可以注入的ssti。
青少年CTF训练平台Web签到
Fenghe2的博客
04-17 301
随后用dirsearch 扫了一下目录发现index.php.bak备份文件。访问index.php.bak成功获得flag。burp抓包看了看响应头 也什么都没发现。打开页面f12大法 什么都没发现。
PingMe 开源项目安装与使用指南
gitblog_00043的博客
08-27 589
PingMe 开源项目安装与使用指南 ping-meA cross platform personalized Ping项目地址:https://gitcode.com/gh_mirrors/pi/ping-me 项目目录结构及介绍 PingMe开源项目遵循了清晰的目录结构,以便于开发者快速理解与贡献。以下是主要的目录结构与功能介绍: - **src**: 包含核心源代码,是实现项目功能的主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值