2022DASCTF MAY 出题人挑战赛

最新推荐文章于 2024-09-21 12:26:41 发布
最新推荐文章于 2024-09-21 12:26:41 发布
阅读量306 收藏 2
点赞数 10
文章标签: 网络安全 web安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68357559/article/details/137141225
版权

上午开题,下午才做。补了三道web浅写一下wp

Power Cookie94a026021b214cfe90500827ce65dda8.png

靶机还没打开就有思路了,应该是需要对cookie进行修改,下午和同队的师傅们交流了一下我又发现可以用火狐插件进行改,那就不用在burp里面修改了。(第三种方法就是在谷歌里面改)

abe53fc4e23640308dcf64271f1a901a.png

添加文件头(admin=1)

c8c70abe08974c38b1ecdd498bae3b3a.png

魔法浏览器

63b273bc850f4123ae67c6e3a1a297df.png

什么是魔法浏览器?(肯定不会是特定的浏览器那么简单了,先f12看情况)

930f13a5e37a453398bd84d8d39b1949.png

看上去像是需要解码,直接丢工具里

a3f0dcb71ef447e28a9842988d449ac3.png

就是User-Agent::放burp里面改成这个就可以了

6b16b6d73272472c828c99502a7de419.png

getme

4b27f75b1e6746809ba8240b0f344c51.png

毫无头绪,谢师傅提醒是利用apache 2.4.50版本远程操纵漏洞获取目录文件(版本信息可以用插件wappalyzer查看)

知道是什么版本之后就可以直接上网找漏洞复现了

具体步骤不讲了,总之在复现之后需要进行查询,ls根目录

今天通过这道题又学到了命令执行的很多方法

cd调到特定的盘符

&&两个连接命令

 

问巻
关注
Duplicate keys detected: ‘2‘. This may cause an update error
郭宝的博客
03-12 9747
背景: 在运行一个Vue项目时,出现了该错误信息 Duplicate keys detected: '2'. This may cause an update error 解决办法: 提示说,检测到重复的密钥:“2”。这可能会导致更新错误。 首先打开src/views/carsend/carsend.vue 文件,然后搜索 2 关键字,结果发现 <el-option 组件使用了两个相同的 key,如下图所示: 那么只需要将其中的一个key改为其它数字即可,如下图所示: ...
2022DASCTF MAY 出题挑战赛web部分
m0_62422842的博客
05-23 467
前言 这是五月份buu的比赛,当时专心备考,所以没有怎么看,这次就来复现一下比赛中的一些web题吧。 Power Cookie 题目中提到了cookie,那肯定与cookie有关。题目中的信息没有给太多,那就bp抓包看看吧。 抓包分析看出set-cookie中admin为0 什么是set-Cookie?它向客户端发送一个http的cookie。cookie是由服务器发送给游览器的变量。上面是admin=0,我们需要管理员登录则就要admin=1。那这题就明显了。直接改包添加cookie就行了呀
2022DASCTF MAY 出题挑战赛 misc
mumuzi的博客
05-22 2899
MAYMISC
2022DASCTF MAY 出题挑战赛个人Writeup
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
05-22 889
文章目录WEBPower Cookie魔法浏览器getmehackmefxxkgoMISC不懂PCB的厨师不是好黑客卡比神必流量 感觉这次难度还比较友好,一个人肝到第18,不过全是web和misc,密码再给点时间感觉也能出。 WEB Power Cookie 以游客身份登录,发现服务器返回了set-cookie 将set-cookie返回的值上送,并修改成管理员即可 Cookie: admin=1; Path=/; Domain=127.0.0.1; Max-Age=3600 魔法浏览器 查看源代码,
2022DASCTF MAY 出题挑战赛 web复现
errorr0
05-23 1052
DASCTF
Web2022DASCTF MAY 出题挑战赛 题解(全)
uuzeray的博客
04-18 702
注册时传入{{.}}获取当前对象信息,就可获取jwt的secretkey,再令is_admin为true伪造jwt即可获得flag即可。sys_auth函数默认$type为0是加密,传入$type为1是解密。那只要用$type=0默认值,反过来加密我们欲下载恶意文件的url即可。/flag路由下只要is_admin为true就可以读flag。默认的$key为常量Mc_Encryption_Key。弱口令admin/123456/123456登录。带着伪造的jwt访问/flag拿到flag。
2022DASCTF MAY 出题挑战赛 Writeup
末初的CSDN博客
05-23 1008
2022DASCTF MAY 出题挑战赛 Writeup
2022DASCTF MAY 出题挑战赛writeup
weixin_43610673的博客
05-22 532
2022DASCTF MAY 出题挑战赛 WEB Power Cookie 1.抓包 2.添加Cookie 魔法浏览器 运行页面源代码的js得到User-Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Magic/100.0.4896.75 带着这个User-Agent访问即可 getme CVE-2021-42013 Apache HTTPd 2.4.49 2.4.50
2022DASCTF MAY web
weixin_63231007的博客
07-20 525
命令"'目标地址端口/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'curl-v--path-as-is目标地址端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。所有需要我们上传一个users.go文件,然后其执行,我们访问users,会返回文件执行结果。......
遇到问题--python---RuntimeWarning: greenlet.greenlet size changed, may indicate binary incompatibility.
直到世界的尽头
08-30 3054
情况 之前运行良好的python项目,突然开始报错RuntimeWarning: greenlet.greenlet size changed, may indicate binary incompatibility. Expected 144 from C header, got 152 from PyObject 完整报错如下: /Library/Frameworks/Python.framework/Versions/3.7/lib/python3.7/importlib/_bootstrap.py:
升级最新IDEA版本(2022.1.1)
软件老王
05-30 3万+
升级最新IDEA版本(2022.1.1)
vue.runtime.esm.js:619 [Vue warn]: Duplicate keys detected: ‘/carsend‘. This may cause an update err
郭宝的博客
03-12 6820
背景: 在运行一个Vue项目时,出现了如下报错信息 vue.runtime.esm.js:619 [Vue warn]: Duplicate keys detected: '/carsend'. This may cause an update error. 解决办法: 错误提示说,检测到重复的密钥:“/carsend”。这可能会导致更新错误。 初步判断是路由路径重名了,那么根据这条线索,全局搜索/carsend 路由路径,查找相似路径,如下图所示,确实有两个相同的路由路径 那...
从System Prompt来看Claude3、Kimi和ChatGLM4之间的差距
热门推荐
herosunly的博客
05-29 11万+
本文主要介绍了从System Prompt来看Claude3、Kimi和ChatGLM4之间的差距,希望能对学习大模型的同学们有所帮助。 文章目录 1. 前言 2. System Prompt 2.1 Claude3 2.2 Kimi 2.3 ChatGLM4
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8465
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全证书考取相关知识
aa98865646的博客
09-21 335
作者是个想进入网络安全行业发展的小白,目前没啥钱,是想自学以后挖漏洞赚钱的,看了这两个算是比较常见的证书看起来都要花不少钱的话,我感觉自己还是先自学一段时间再说吧,实战更重要,这些证书等以后有机会慢慢考吧,如果需要的话。欢迎大佬补充其他适合小白考取的证书,目前感觉4800+480的NISP一级证书比较适合在学校的小白,CISP的话再NISP考到二级以后再加钱4000就可以换成CISP了,NISP适合学生,CISP适合职场啊,不过都是要钱啊。
网络安全详解
最新发布
weidl001的博客
09-21 944
网络安全(Cybersecurity)是指保护网络系统、设备、程序及数据免受攻击、损坏或未授权访问的实践。其核心目标是确保信息的机密性、完整性和可用性。机密性(Confidentiality):确保信息仅被授权的人员访问。完整性(Integrity):保护信息不被未授权的修改或破坏。可用性(Availability):确保信息和资源在需要时可被访问和使用。
2024年三个月自学 网络安全(黑客技术)手册
2401_85026965的博客
09-21 2180
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全:腾讯云智、绿盟、美团、联想的面经
persist213的博客
09-21 973
网安面试指南》《Java代码审计》《Web安全》我从4月份找到现在一共面了四家公司,来和大家分享一下我的面试经历(本文来自一位朋友的面试经历)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值