CTF部分题解

于 2024-04-19 19:04:00 发布
阅读量170 收藏
点赞数 3
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_72661106/article/details/137974673
版权

1.手速要快

打开网站,打开开发者工具在网络选项可以找到登陆密码,

发现可以上传文件,尝试用一句话木马上传php文件,

可以看到文件上传路径,之后打开蚁剑进行连接,从而找到flag

2.包罗万象

打开网站,发现有上传文件功能,尝试使用一句话木马上传php文件。

得到上传路径,采用zip伪压缩构造url。

%23代表#,后面是上传的文件名。进入网站,发现没有异常,尝试用蚁剑连接

3.管理员的愤怒

进入网站先打开开发者工具没有发现任何js,尝试用御剑后台扫描目录。

点击第二个。

能够得到admin网址,再点击第一个网址。

登录dbadmin网址。

点击左侧数据库找到flags,得到flag。

Diceee
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
蚁剑的使用以及用蚁剑做一道ctf
weixin_49392641的博客
12-15 3369
一.蚁剑的介绍及下载 1.蚁剑是一款和菜刀相像的shell控制端软件,主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。 2.蚁剑的下载 这是gethub的官方下载地址 供大家下载 3.蚁剑的安装 点击初始化就完成安装,再次点击AntSword.exe打开 二.蚁剑的使用 下面我就用一道ctf题来展示蚁剑的基本简单的使用。 1.找到一道ctf题目点击打开可以看到 题目中我们能得到几个很重要的提示1.白给的shell 2.菜刀丢了 3.提示eval和Syc。 2.我们可以用到我们刚刚下载的工
蚁剑的分析和利用
kali_Ma的博客
11-19 1860
前言 这篇文章主要是以虚拟终端模块执行命令功能为例,逐步分析,并通过分析结果优化对应脚本的方法。 前情回顾 已经解决了初步认证的问题 经分析,通过连通密钥首即可通过蚁剑的认证,达到连接成功的目的,但是连接成功后会出现这种情况。 所以我进行初步猜测,虚拟终端初始化没有问题,执行命令出现问题,所以我最开始的分析就先从执行命令功能开始进行。 【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf
网络安全CTF流量分析-入门7-蚁剑加密流量分析
m0_51198141的博客
11-25 1817
1.连接蚁剑的正确密码2.攻击者留存的值3.攻击者下载到的Flag这道题前期来说比较简单,但是最后一文的Flag可能有点跳脱,但是整体的流量还是比较容易分析的,exe的开头是MZ这一点要注意,否则分割不出正确的文件。写的简陋,欢迎师傅们留言交流补充。
CTF-蚁剑流量
m0_62670778的博客
04-08 1103
检查这些保存的文件,查看是否有什么有价值的东西。中的内容都是乱码的,根据题目描述知道蚁剑。发现上传了一个ms.jsp的木马文件。发现是一个具有文件上传功能的页面。发现有导出对象,将数据全部保存。下载附件后发现是一个流量包。查看是否有http导出对象。
CTF初体验:web19,速度要
y17861077326的博客
12-14 708
解题过程 进来 什么都没有,只有一句话和一段英文 ## 不管怎么样,(1)先扫下后台,(2)先看看刚进来时的request和response (1)扫描到一个 index.php ,进去发现跟之前的没什么不同。 (2)发现刚进来 response里就有flag,然后刷新一下看看他是固定的还是变化的,发现flag是变化的 flag是变化的,把每次都flag都去试下,发现都不对。 又因为这是个base64编码的串,所以随便找一次的flag,先解码看下。 然后再去试下答案,发现还是不对。而且每次进入刷新
西普WEB大部分题解
12-09
【标题】"西普WEB大部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
CTF-Mobile-Tutorial:我写的一些Mobile CTF题解
03-28
CTF移动版教程:Java应用安全解析》 在网络安全竞赛(CTF)的世界中,移动平台的安全性逐渐成为关注的焦点。本教程由作者wnagzihxa1n精心整理,旨在帮助初学者理解并掌握移动CTF中的关键知识点,特别是与Java相关...
CTF WriteUp】2020网鼎杯第一场部分题解
01-20
(好难啊~~~) Crypto boom 本地运行,过三关。第一关找个东西md5值等于给定值,破解一下得到en5oy;第二关解三元一次方程,得x=74, y=68, z=31;第三关解一元二次方程,找正数根x=89127561。全过得flag ...
Hacker101-CTF
04-19
当出于预热目的显示此初始部分的页面(这是Hacker101中的第一个CTF)时,我们将看到这样的文章。 可以检查源代码,因为页面上没有其他内容。 当检查页面的源代码时,可以看到在body标签中有一个名为background.png...
CyBRICS CTF Quals 2019 Web 题解1
08-04
在CyBRICS CTF Quals 2019的Web挑战中,参赛者遇到了一系列涉及前端、后端以及加密解密的问题。以下是针对题目提供的部分解题思路和知识点的详细说明: 1. **Warmup**: - **URL重定向**:这个挑战中,网站最初...
ctf-web-速度要
god_001的博客
04-20 822
题目: 首先打开网页,查看源代码,并在网络响应头里发现了flag 进行两次base64解码后,得到六位数字,结合源代码提示猜测是需要传参这六位数字给margin 得到, 猜测是margin会刷新,于是用python: import requests import base64 import re url='http://114.67.175.224:11192' rr=requests.session() #建立会话 resp=rr.get(url).headers ...
Bugku CTF web-19 速度要
weixin_47387913的博客
04-14 902
Bugku CTF web-19 速度要ctf-web板块攻破了一些题目,每当提交flag的时候总是忘记了写一下攻题过程,这里直接开始web-19的总结,已经到了自己写脚本的题目,python的学习刻不容缓,现阶段脚本还是参考的前辈们的代码(用了就得学会………)。 一、 尝试 拿到网址,访问,‘我感觉你得点!!!’,或许F5一点刷新能出来flag(尝试总是没有错的,之前的一个题目确实是需要刷新),但是尝试过后无反应,F12以及查看页面源代码无flag信息...
CTFCTF课后习题WP
lucasde的博客
12-13 666
靶机:10.14.3.122直接访问,发现无法访问。第一个我抓包用xff改成本机地址,发现没用,排除,第二个直接拿nmap去扫这个靶机直接就排除第二个不对,直接就找出是第三个原因了,直接访问8888这个端口。
近期misc刷题主要是流量分析部分
cppuHsir的博客
07-20 775
misc流量分析以及蓝帽杯misc部分题目
CTF-遗留的压缩包
最新发布
m0_62670778的博客
04-13 595
请求传递的密码,如果密码的 MD5 哈希值等于特定的值,就会执行通过 POST 请求传递的代码。联想到标题说有遗留的压缩包,尝试对该网站进行扫描,然后发现了一个压缩文件。文件,文件中的PHP代码是一个非常简单的后门程序,它的功能是接收通过。这同时说明了该网站存在着一个木马文件,我们可以利用该木马执行命令。下发容器,访问链接,发现都是无关内容。同时也尝试使用蚁剑连接该木马文件。下载该压缩文件并查看内容。利用蚁剑找到了flag。
bugku ctf 速度要 (速度要!!!!!!)
qq_42777804的博客
05-19 2952
查看源码 : </br>我感觉你得点!!!<!-- OK ,now you have to post the margin what you find --> 需要写个脚本 import requests import base64 s =requests.Session() headers =s.get("http://123.206.87.240:80...
CTF 2020 第二届 网鼎杯 第一道 Misc 签到
狸匪的博客
05-10 2287
这是我在超正式的比赛(网鼎杯)中做出的第一道CTF题(甭提有多高兴了) 题目地址: http://29ec1ba945124a9b827414b38f4e29030d0e0910e64e466c.cloudgame2.ichunqiu.com/ 这道题很简单 首先一上来来一个小游戏: 点击GUESS 开始游戏 :选择世界上CTF 战队名称与图片 一共15道题 都选择正确的话会提示输入本战队的 TOKEN 输入 然后就跳转到这个页面了 此时我们并没有什么思路,只知道给了我们flag 按下F1
BugkuCTF-速度要
臭nana的博客
11-25 2113
1. F12查看网页源代码 根据显示的内容,猜测可能需要使用post提交margin的值,那么接下来就找margin对应的值。 2.查看响应头 看到flag,base64解码,提交之后发现是错的,后面才知道flag是变化的。 3.还是根据第一步老老实实找margin值,抓包发现phpsession字段,猜测获取页面信息和提交margin值,可能需要使用同一个session import re...
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值