web练习第二周

最新推荐文章于 2024-06-16 14:57:46 发布
最新推荐文章于 2024-06-16 14:57:46 发布
阅读量692 收藏
点赞数 2
分类专栏: web安全 文章标签: flask python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73390155/article/details/130819136
版权

前言:(博主个人学习笔记,不用看)web练习第二周,仅做出前3题。相比于第一周,难度大幅增加,写题时就算看了wp还是像个无头苍蝇一样到处乱创,大多都是陌生知识点,工具的使用也是一个严重问题。

这里是目录

1.Training-WWW-Robots

题目描述:暂无

1.进入场景看到一段英语,大致意思就是让你搞懂什么是robot协议,咱们在url末尾添加robots.txt后访问。
在这里插入图片描述
2.根据提示不允许访问 /fl0g.php, 那咱们就访问它,得到flag。
在这里插入图片描述

2.Follow me and hack me

1.进入场景可知需要分别进行一次get和post传输数据,按照顺序首先get传输:页面发生变化
在这里插入图片描述
2.再进行post传输,借助hackbar工具。
在这里插入图片描述
3.得到flag
在这里插入图片描述

3.导弹迷踪

题目描述:
你是一颗导弹,你需要,飞到最后!(通过6道关卡就能拿到flag哦~

试了试这游戏,打到了第三关(我还挺强的ψ(`∇´)ψ)。

1.咱们直接F12进入开发者模式,查看js,直接找到了flag。
在这里插入图片描述
2.需要注意的是,题目要求flag形式为NSSCTF{},即flag要写成NSSCTF{y0u_w1n_th1s_!!!}

以下都是不会做看wp的题目,总结所得

4.Flag点击就送

了解:session伪造,json格式,flask框架,使用flask-session-cookie-manager脚本。

flask框架的session是存储在客户端的,因此session可能被恶意篡改,而flask通过密钥对数据进行签名来防session被纂改。

5.作业管理系统

1.进入场景,F12试试,发现默认账户及密码,登入系统:(止步于此)
在这里插入图片描述
2.在界面各种创建上传文件,发现没什么用,看了wp,上传一句话木马,蚁剑连接即可找到根目录的flag。(学会了使用蚁剑工具)

6.inget

通过此题,初步了解了渗透的概念。

题目描述:无

根据题目提示尝试渗透,在url末尾添加?id=1'or'1+-(具体原理暂不知)后访问,得到flag。
在这里插入图片描述

7.fileclude

初识php伪协议绕过,看一段php代码,使用hackbar工具(post),访问得到一串字符,base64解码得flag。

8.fileinclude

利用伪协议php://filter,看一段php代码,使用hackbar工具(cookie),访问得到一串字符,base64解码得flag。

9.easyupload

了解以下知识点:

本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行

这里需要绕过的点如下:

检查文件内容是否有php字符串
检查后缀中是否有htaccess或ph
检查文件头部信息
文件MIME类型
(摘自官方wp)

溪读卖
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
封神台SQL注入-POST注入
qq_40941912的博客
08-24 813
一、原理 判断注入点 判断当前页面字段总数 判断显示位 查当前数据库 查表名 查列名 查字段内容 POST注入就是使用POST进行传参的注入,本质上和GET类型的没什么区别 最经典的POST注入莫过于万能密码:'or 1=1# Mysql在5.0以上版本加入了 information_schema 这个系统自带库 其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等 information_schema.tables 存放表名和库名的对应 inf
ctf web5 练习_CTF web题型总结 第六课 CTF WEB实战练习(二)
weixin_39636176的博客
12-20 1377
继上一篇总结:CTF web题型总结-第五课 CTF WEB实战练习(一)以下也是我在bugku练习的解题过程。以下内容大多是我在Bugku自己操作练习,有部分来源于网络,我只是在前人的基础上,对CET WEB进行一个总结;----------------------------------------------------------------------------------------...
4.LiCTF NSSCTF WEB方向部分 WriteUp
qwsn
05-14 2392
找到jsfuck进行解密得到:NSSCTF{4[]b0[]8[]5[]0[]1[]6[]-8[]ace-4[]1[]0[]7[]-8[]4[]d0[]-1[]da4[]1[]ab1[]0[]8[]ba}源码后,查看用到了js文件http://node6.anna.nssctf.cn:28119/dist/index.umd.js。查看源码,找到一个js文件夹,http://node5.anna.nssctf.cn:28482/src/game.js。
flag作为参数以post方式提交_那些与服务器的小动作——台底交易的POST请求
weixin_39805720的博客
11-29 1530
各位小白帽们好又到了新一期的知识点时间了上期我们介绍过HTTP中最简单直白的GET请求把请求参数嵌入到URL的做法当然上期也有提到这种办法隐私性比较差像是密码之类的敏感信息附在URL上就很容易有泄密的风险那么我们今天就要来谈一下相对来说隐私性好一点的POST请求台底交易的GET请求作为两种常用的HTTP请求POST请求对比GET不仅参数藏的更隐秘而且支持的内容种类也更加丰富如图所示是我通...
python3+requests:post请求四种传送正文方式(详解)
Pitbull2014的博客
06-06 2646
前言:post请求我在python接口自动化2-发送post请求详解(二)已经讲过一部分了,主要是发送一些较长的数据,还有就是数据比较安全等,可以参考Get,Post请求方式经典详解进行学习一下。 我们要知道post请求四种传送正文方式首先需要先了解一下常见的四种编码方式:   HTTP 协议规定 POST 提交的数据必须放在消息主体(entity-body)中,但协议并没有规...
Web学习第二
qq_52488638的博客
12-06 139
web学习报告2 (1):继续进行php基础语言学习; 对HTML基础进行练习,开始学习css,JavaScript (2):web做题解析 1.伪协议1 注释:a.highlight_file() 函数对文件进行语法高亮显示。 本函数通过使用 PHP 语法高亮程序中定义的颜色,输出或返回包含在 filename 中的代码的语法高亮版本。 许多服务器被配置为对带有 phps 后缀的文件进行自动高亮处理。例如,在查看 example.phps 时,将显示该文件被语法高亮显示的源代码。要启用该功能,请把下面这
第3-4 练习
w1225811的博客
03-16 28
作业
web应用技术》第二次课后练习
ye_kexing的博客
06-05 305
jdbc在pom.xml中的编辑。
Web前端学习第二
linglingpractice的博客
10-27 1323
学习笔记
计算机二级Web考试强化练习题及答案.docx
09-29
计算机二级Web考试强化练习题及答案文档是面向计算机二级Web考试的练习题和答案汇总,旨在帮助考生更好地备考和复习计算机二级Web考试。下面是对该文档的详细知识点解析: 一、ASP特点 1. ASP页面中可包含文本、...
BDQN Web前端 第八章练习代码
05-15
<body> <div id="tmp"></div> <div class="pointer"></div> <div class="cj-bg"></div> <div class="start"></div> 活动日期 即日起-8月30日 </body> [removed][removed] ... })
第一章练习题答案2
08-08
第一章练习题参考答案 填空:1. 密码学 密码分析学2. 安全威胁 安全漏洞3. 获取消息的内容 业务流分析4. 被动攻击 主动攻击5. 对信息系统具有摧毁性,
Servlets_JSP:Web应用程序第二版的练习
02-15
Servlets_JSP网络实践第二版练习1-Servlets / JSPBásicoServlet和UM的JSP。 Servlet作为SEPT的信息代表了Web竞争者,例如Podtem Ser Obtidas Pelo Seguinteendereço:Mostre作为信息来源: Nome do Setor:埃祖尔...
servlet中第二章 使用web.doc
11-22
servlet中第二章 使用web.docservlet中第二章 使用web.docservlet中第二章 使用web.doc
怎样为Flask服务器配置跨域资源共享
BigBookX's Blog
06-13 283
为了在 Flask 服务器中配置跨域资源共享(CORS),你可以使用flask-cors扩展。这个扩展可以帮助你轻松地设置 CORS 规则,从而允许你的 Flask 服务器处理来自不同源的请求。
python flask配置邮箱发送功能,使用flask_mail模块
最新发布
Zwq的博客
06-16 323
使用flask_mail模块,只需简单配置,使用两三行代码就可以快速实现发送邮箱的功能,十分方便。
基于flask的网站如何使用https加密通信
weixin_44585288的博客
06-13 1205
文章介绍了基于flask的web应用如何使用https加密通信的三种方式, HTTPS 是一种至关重要的网络安全协议,它通过在 HTTP 协议之上添加 SSL/TLS 层来确保数据传输的安全性和完整性。这有助于防止数据在客户端和服务器之间传输时被窃听、篡改或伪造,对于保护用户隐私、防范中间人攻击以及增强用户对网站的信任至关重要。
flask基础4-flask数据库操作
m0_73426548的博客
06-13 880
SQLAlchemy对象关系映射器提供了一种方法,用于将用户定义的Python类与数据库表相关联,并将这些类(对 象)的实例与其对应表中的行相关联。它包括一个透明地同步对象及其相关行之间状态的所有变化的系统,称为工 作单元,以及根据用户定义的类及其定义的彼此之间的关系表达数据库查询的系统。
《java web从入门到精通(第2版)(配光盘)(软件开发视频...
09-09
《Java Web从入门到精通(第2版)》是一本系统介绍Java Web开发的教材,主要面向想要学习和掌握Java Web开发技术的读者。本书配套光盘中提供了一些相关的软件开发视频教程,可帮助读者更好地理解和掌握所学的知识。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

溪读卖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值