CTF中的curl命令

最新推荐文章于 2025-03-16 09:31:41 发布
最新推荐文章于 2025-03-16 09:31:41 发布
阅读量3.5k 收藏 9
点赞数 4
分类专栏: 笔记 文章标签: 安全 web安全 网络安全 curl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52988816/article/details/123080248
版权

//好久没发了(懒…)随便水一下

CURL命令解题(常用curl命令以及如何解题)

http://www.ruanyifeng.com/blog/2019/09/curl-reference.html
说的很详细,建议学习一下

注意点

windows系统用curl命令注意下引号包裹问题
注意下转义问题

BUUCTF [BSidesCF 2020] Hurdles

curl -X PUT http://node3.buuoj.cn:28174/hurdles

必须以!结尾

curl -X PUT http://node3.buuoj.cn:28174/hurdles/!

查询字符串要存在get=flag

 curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag'

需要将请求链接以单引号包裹,访问后得到结果
需要传参的名为&=&=&,首先将其进行url编码,得到:%26%3D%26%3D%26,构造传参:

curl -X PUT 'http://node3.buuoj.cn:28174/hurdles/!?get=flag&%26%3D%26%3D%26=1'

需要将&=&=&的值等于%00(换行符),其后还包含了一个换行符,也是进行URL编码:%2500%0a,构造传参:


curl -X PUT 'http://node3.buuoj.cn:281
最低0.47元/天 解锁文章
一道CTF题学习php的curl扩展模块
bj5716的博客
05-30 4292
前言作为一个web安全学的很痛苦,还始终学不会的人,决定要好好学web安全了。这次见识了一下DDCTF的题目,难度对于我来说非常高,所以决定写一些学习总结,也不算wp,就是笔记这种吧,这篇文章以学习PHP的CURL模块为主,用这道很基础的SQL注入题来引一下子。题目描述一出来什么都没有,只有一个这个提示。所以说,这个就下意识改一下头吧,添加一个X-Forwarded-For项就可以了对吧。而且这个...
关于CTFhub中的HTTP请求方式关于curl命令
cisansui的博客
09-25 763
CTFHub HTTP请求方式 百度了一下找到了解题方法 使用 Windows 自带的cmd命令中的 curl命令 cu rl -v -X CTFHUB URL 输入这个命令,网址的详细信息包括在下边,在html的源代码里面找出flag就行 关于curl命令 cURL是一个利用URL语法在命令行下工作的文件传输工具,1997年首次发行。它支持文件上传和下载,所以是综合传输工具 url用来‘从server传输数据’或者‘传输数据到server’,支持多种协议(HTTP, HTTPS, FTP, FT
ctf---curl的使用
weixin_43803070的博客
05-12 5531
** bugku-web基础$_GET ** curl http://123.206.87.240:8002/get/?what=flag curl -I http://123.206.87.240:8002/get/ ** bugku-web基础$_POST ** curl -X POST http://123.206.87.240:8002/post/ -d "what=flag...
[学习笔记]攻防世界—ez_curl
最新发布
qq_58742026的博客
03-16 628
express,过滤
四个有关文件传输的CTF WEB题(深育杯FakeWget、极客大挑战where_is_my_FUMO、2021陇原战疫CheckIN、N1CTF-curl trick)
Love&Share
11-27 2959
文章目录深育杯FakeWget极客大挑战where_is_my_FUMO2021陇原战疫CheckINN1CTF-curl trick 前两题wp来自官方发布,觉得这四个题挺有意思的所以整理了下 深育杯FakeWget 题目只有三个路由,一个输入点,容易判断考点是命令注入,因此需要先不断测试传入数据并刷新观察回显,来猜测后端与wget命令拼接逻辑和过滤逻辑,下面是三个比较典型的fuzz示例: www.baidu.com teststr with space www.baidu.com这里fuzz出.
CTFHUB HTTP请求方式(curl
weixin_42501869的博客
09-18 507
题目 从题目中可以看出,需要使用的一种是CTFHUB 的请求方式才能拿到flag 解法: 通过使用windows自带的工具curl curl用法: curl -v -X CTFHUB http://challenge-dd9dc5df40b8be18.sandbox.ctfhub.com:10800/index.php 如此,我们就需要去了解这几个参数的作用: -v 显示整个通信的过程 -X 指定HTTP请求方法。这是这个题的解题重点。 未指定请求方式默认为GET curl -v http://challe
CTF Web】Pikachu SSRF(curl) Writeup(SSRF+读取文件+探测端口)
HEX9CF的技术博客
10-15 659
其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据数据流:攻击者----->服务器---->目标地址根据后台使用的函数的不同,对应的影响和利用方法又有不一样PHP中下面函数的使用不当会导致SSRF:如果一定要通过后台服务器远程去对用户指定(“或者预埋在前端的请求”)的地址进行资源请求,则请做好目标地址的过滤。
ctf curl命令
01-06
### CTF竞赛中`curl`命令的使用 在CTF(Capture The Flag)竞赛中,`curl`是一个非常强大的工具,用于发送HTTP请求并处理响应。这不仅限于简单的GET和POST请求,还包括更复杂的场景,例如服务器端请求伪造(SSRF)[^1...
ctf curl常用命令
09-06
CTF中,使用curl命令可以进行各种网络请求和数据交互。下面是一些常用的curl命令: 1. 发送GET请求: ```shell curl ``` 例如: ```shell curl https://example.com ``` 2. 发送POST请求: ```shell ...
ctf 监听端口_CTF中的命令执行绕过方式
weixin_34586802的博客
12-31 667
引言不论在CTF还是实战中,命令执行的场景五花八门,那么往往在一些小型比赛中,会以那种PING接口进行getflag操作。1.管道符在用linux命令时候,我们可以一行执行多条命令或者有条件的执行下一条命令,下面我们讲解一下linux命令分号&&和&,|和||的用法。“;”分号用法方式:command1 ; command2用;号隔开每个命令, 每个命令按照从左到右的顺序,...
CTF-WEB_ctf代码
2401_87299294的博客
09-21 871
**但是此时浏览器渲染的%00可以直接手动换为具体的字符串,或者在菜鸟工具里面把最后一行加个urlencode()函数编码,直接编码为url,避免在序列化内容过多的时候手动该%00过于麻烦,但是此时就需要在一堆编码里面准确的找到类的个数是哪个,一般来说类的个数处于两个冒号之间,冒号的url编码是%3A,所以找到偏前面一点的,在两个%3A之间的数字改大一点就可以了**index页面包含class页面,里面友谊个GET春蚕的反序列化点,所以可以使用序列化绕过wawkeup方法,然后打印flag。
curl下载及环境配置教程(CTF夺旗赛)——网络安全
qq_33163464的博客
07-14 826
4、再在:系统变量,里面找到:Path中再添加上面创建的地址curl。5、最后测试下是否配置成功,输入curl -V命令,显示内容如下图。2、在系统环境变量里设置路径,路径根据下图来看。
CTFWEB学习——http请求方式
weixin_61167540的博客
11-21 1005
是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。得到flag:ctfhub{c58e45f39e52486f411345e0}从题目中可以看出,需要使用的一种是CTFHUB 的请求方式才能拿到flag。参考各位大佬们的做法是用windows自带的curl——指定HTTP请求方法。这是这个题的解题重点。未指定请求方式默认为GET。
[De1CTF 2019]ShellShellShell 内网探测&curl 传参传文件
a3320315的博客
02-01 1506
0x01 题目描述 总共分为两部分,都是两道原题~~,我们主要讲一下第二部分,关于第一部分的writeup,以前也写过~~ 第一部分:传送门 第二部分: 我们穿了一句话之后,可以用蚁剑连接,然后就是内网探测了~~ 打开/proc/net/fib_trie,查看内网信息~~ 我们的主机是173.158.29.9,我们用蚁剑自带的端口探测工具扫一下~~ 然后我们使用wget http://173.1...
CTF之信息收集
WenZhongxiang
10-07 528
GitHub是一个面向开源及私有软件项目的托管平台,因为只支持Git作为唯一的版本库格式进行托管,故名GitHub。它可以让开发者们在这里托管自己的代码,并进行版本控制,是全球最大的源代码托管网站之一。信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们参透测试的过程当中,是最重要的一环,这一环节没做好,没收集到足够多的可利用的信息,我们很难进行下一步的操作。端口扫描常用扫描工具。
CTF学习笔记——Easy Calc
Obs_cure的博客
09-06 1605
一、[RoarCTF 2019]Easy Calc 1.题目 2.解题步骤 发现框框…应该是注入题…源码中提示有个waf,继续看源码,发现有个calc.php,进去看看 初步理解应该是用num传参,然后返回计算结果,这个php文件用于过滤非法字符。 被拦下来了,大概是利用num构造一个payload,不能含有字母和非法字符,只能有数字和符号 这里已经不会了,看writeup吧… 3.总结 4.参考资料 [RoarCTF 2019]Easy Calc(http走私 && 利用PHP的
CTF笔记 攻防世界 fakebook
qq_51248658的博客
10-10 1499
第一次做,拿到题目一开始就被注册难住了,blog该填啥???于是忍不住直接就去看wp了。。。。。。后面过了一段时间再去做发现,除了注册,后面还是没有思路,只是隐约记得有个反序列化。。。。这里就记一下,加深以下印像。第一次认真跟着大佬的wp一步步做下来,学到了很多,sql注入那里还是有些薄弱,判断闭合的时候总想不到直接空格,多积累吧。。。。
CTF入门,看这一篇文章就够了
weixin_46003602的博客
07-27 874
CTF入门教程,干货多多,内容多多
CTF做题笔记8
Forever_Han13的博客
03-27 833
[2022DASCTF]ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值