攻防世界web篇writeup

最新推荐文章于 2022-01-24 22:03:48 发布
最新推荐文章于 2022-01-24 22:03:48 发布
阅读量399 收藏
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51954912/article/details/113882224
版权

1.在这里插入图片描述
打开场景发现
在这里插入图片描述
我们先查看网页源码
发现在这里插入图片描述
经过查询,cyberpeace为网络安全的意思,即明白,此为flag
2.在这里插入图片描述
先了解什么是robots协议
发现只需在url后添加robots.txt即可查看robots协议
在这里插入图片描述
发现在这里插入图片描述
本以为f1ag_1s_h3re.php,为flag,结果提交错误想到robots协议的特点,将f1ag_1s_h3re.php放到url后,即发现flag在这里插入图片描述
3.

在这里插入图片描述
首先了解一个知识点
如果网站存在备份文件,常见的备份文件后缀名有:“.git” 、“.svn”、“ .swp”“.~”、“.bak”、“.bash_history”、“.bkf” 尝试在URL后面,依次输入常见的文件备份扩展名。
经过依次对url后添加后缀,并不能得到flag,或者文件。
但是页面中有index.php,尝试将其输入到url后,再依次输入以上后缀,最终发现

在这里插入图片描述
然后用
notepad++打开,发现flag

在这里插入图片描述
4.
在这里插入图片描述
打开场景,进行抓包,发现下图
在这里插入图片描述
在这里插入图片描述
进行图片操作,查到flag
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
删去disabled
在这里插入图片描述
按钮可按,即得flag
6.在这里插入图片描述
在这里插入图片描述
尝试一些简单的密码用户名
在这里插入图片描述
发现用户名是admin,这里我想到了爆破密码,但是在使burp查看过程中,偶然发现

在这里插入图片描述
直接得出flag

卡面来打01
关注
攻防世界 web高手进阶区 10分题 TimeKeeper
闵行小鱼塘
10-19 1397
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是TimeKeeper的writeup
攻防世界 web高手进阶区 10分题 Guess
闵行小鱼塘
11-03 1327
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
攻防世界:view_source
qq_57061511的博客
06-13 179
根据题目提示,要查看页面源代码,右键单击没有用,上网查询查看源代码的快捷键,就是ctrl+u,然后flag就在这一页。
记录攻防世界WEB-01
qq_53498910的博客
12-11 249
记录攻防世界WEB-01 题目来源:view_source 首先呢,先点击获取在线场景,它会出现一个网址,点击该网址,会出现下列情景, 我们尝试使用右键,哎,发现,右键真的使用不了 接下来我们可以按住ctrl+u或者是F12 按下去之后便会出现这样的情形 接下来我们就可以复制下来这段代码记住要去掉注释两边的哦!!! ...
攻防世界bug
xiaoqi199915的博客
06-02 1759
尝试弱口令和万能密码 首先你应该登录 进行注册 但是自己没有注册成功 登录自己的账号密码 并未发现什么 需要管理员权限进行登录 进行忘记密码进行秘密 burp 进行抓包 账号名改成admin 密码是自己注册的密码进行发包 登陆成功 admin权限 点manage发现出现IP IP问题 进行X-Forwarded-For :127.0.0.1 进行审查源码 发现index.php?module=filemanage&do=??? 那么do后面能是什么呢 猜测upload 写一个php代码 改为.
【愚公系列】2023年05月 攻防世界-Web(supersqli)
热门推荐
时光隧道
01-24 3万+
SQL注入攻击是一种常见的网络攻击方式,攻击者通过在用户输入的数据中插入恶意代码,从而获取数据库中的敏感信息或者执行未授权的操作。为了防范SQL注入攻击,我们应该在应用程序中使用参数化查询这样的安全措施来防范这种攻击。同时,我们还应该加强数据过滤和输入验证,以确保用户输入的数据符合预期的格式和类型。
ctf攻防世界练习题writeup(第一部分)
Ohh24的博客
09-01 1067
view source 题目描述:X师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 用火狐浏览器打开对应网站 发现无法找到对应的flag,此时可以按F12寻找相应的flag 同时,根据题目的提示,也可以搜索view-source:http://相应的网站/进行访问,寻找flag get_post 先用火狐打开相应的网站搜索 根据提示用get方式提交名为a,值为1的变量,...
攻防世界 web高手进阶区 10分题 email
闵行小鱼塘
11-16 1561
继续ctf的旅程,攻防世界web高手进阶区的10分题,本文是email的writeup
ctf 攻防世界练习题writeup(第二部分)
Ohh24的博客
09-07 867
ctf 攻防世界web2cookie新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 cookie 由题可知本题考查cookie,那么什么是cookie? 新的改变 我们对Markdown编辑器进行了一些功能拓展与
攻防世界PWN新手区WP
weixin_45461609的博客
02-23 1883
攻防世界PWNget shellwhen did you bornhello_pwnlevel2待更新 get shell nc + 地址 直接连接cat flag when did you born 运行一遍,报错,段错误,栈溢出 拖进IDA 可以观察到当v5==1926的时候就会cat flag 但是当v5 == 1926 的时候又会报错 观察到这里还有一个v4而且是栈溢出的点 不妨点进去...
攻防世界——pwn(1)
weixin_44319142的博客
04-08 2867
get_shell
team [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列28(网站配置错误,需自行配置本地环境测试)
重新启程
01-04 1727
请注意:本题在攻防世界网站配置错误,请自行配置本地环境测试 最近攻防世界的题目pwn高手进阶区全部打乱了,所以现在我的题目列表是下面这样的了,搞的我的尴尬症都犯了???? 准备看看能不能把一些题目解决一下,不过其中有些题目的环境是配置错误的,我已经联系网站的工作人员,准备进QQ群。 现在我就先把team这道题目给大家说明一下。这道题目其实并不是太复杂,但是网站的工作人员没有搞清楚这道题目的出题方法...
攻防世界——web新手题
weixin_46204746的博客
02-10 896
攻防世界————web新手题 1. robots 打开题目场景,发现与robots协议有关,上网搜索robots协议的内容: Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。Robots协议的本质是网站和搜索引擎爬...
攻防世界-Web进阶区-bug
feng的博客
09-14 570
前言 这题主要涉及了各种绕过,也需要一点点的脑洞或者fuzz,这题还是比较好的。 WP
攻防世界XCTF:shrine
末初的CSDN博客
03-14 6683
这题涉及到我的知识盲区,主要是以下几点: SSTI Flask 框架 Bypass Sandbox 整理得到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return op...
攻防世界-web writeup(xctf)
菜的只能随便写写博客
07-15 2539
0x01 view source flag放在源码之中,但是网页的脚本限制了鼠标作用,无法点击和选中,直接F12或者浏览器快捷键查看网页源码即可得到flag flag:cyberpeace{e07dcafaeeb31df23b4d661dd4da56f9}   0x02 get_post GET和POST是http协议的两种主要请求方式 GET请求直接把参数包含在url中 POST...
UnityAPI—Message
qq_42459006的博客
08-25 143
using System.Collections; using System.Collections.Generic; using UnityEngine; public class API04Message : MonoBehaviour {     public GameObject target;     // Use this for initialization     void...
CTF--攻防世界Web新手训练7-12
qq_40730029的博客
04-28 2029
7.simple_php 8.get_post 9.xff_referer 11.command_execution 12.simple_js 7.simple_php 题目:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 进入场景之后看到php代码,我们只需通过get方式将满足条件的a,b值输入在地址栏即可拿到flag flag如下: Cyberpeace{647E37...
攻防世界shuffle
最新发布
09-03
- *3* [攻防世界Reverse进阶区-Shuffle-writeup](https://blog.csdn.net/qq_35056292/article/details/108676766)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值