几道web题目

总结几道国庆写的web题目

[ACTF2020 新生赛]Include1

点进去发现就一个flag.php,源代码和抓包都没拿到好东西

结合题目猜是文件包含,构建payload

?file=php://filter/read=convert.base64-encode/resource=flag.php

 

得到base64编码过的flag,解码即可

此题结束

[ACTF2020 新生赛]Exec

打开是一个ping的界面,输入地址后加上分号可以运行我们的代码

那么构建语句抓取主页面的代码

尝试去找flag文件

打开flag文件

此题结束

[GXYCTF2019]Ping Ping Ping

点开叫你输入?ip=,那就先随便扔一个进去试试

和上一题差不多的套路,一样试试能不能分号结束语句执行命令

答案是可以,打开flag.php看看

 没东西,老样子浏览目录

 也不行,猜测是有过滤.测试下来/和空格都是被过滤掉了的

$IFS$1代替空格试试

一样不行,换index试试

终于有东西了,从这里可以看见把特殊字符都过滤完了

这个语句是过滤这样的东西

f*****l****a****g

只要是按顺序出现flag四个字母的都不行

那就拿个拼接来解决问题

?ip=1.1.1.1;a=ag;b=fl;cat$IFS$1$b$a.php;

 

 不知道为啥全在源代码里才能看见我cat的文件

此题结束

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfweb题目"docker镜像"是指一个挑战题目,要求我们对一个Docker镜像进行分析和攻击。Docker是一种容器化技术,可以将应用、环境和关联的配置打包成一个独立的镜像。这个镜像可以在不同的环境中进行移植和运行。 对于这个ctfweb题目,我们可以首先通过命令"docker images"查看当前系统中的Docker镜像。然后,我们可以选择这个题目中的特定镜像进行分析,使用"docker inspect [镜像ID]"命令获取有关镜像的详细信息。 接下来,我们可以尝试在本地使用这个镜像来运行一个容器。可以使用"docker run [镜像ID]"命令创建一个新的容器实例,并根据题目给出的提示找出容器内的漏洞、文件、服务等信息。 从容器内部提取敏感信息的常见方法包括查找配置文件、访问数据库、分析日志文件等。另外,在容器中也可以进行一些命令执行、代码注入等漏洞利用操作,以获取更高的权限和更深入的信息。 此外,我们还可以使用一些常见的Docker安全工具,比如Docker Bench for Security、Clair、Trivy等来对容器进行漏洞扫描,识别潜在的安全问题,并找出可能存在的弱点。 当我们找到容器内的漏洞或弱点时,我们可以根据具体情况进行利用或编写脚本进行自动化攻击。在攻击过程中,我们应该遵循道德规范,不进行未授权的攻击行为。 总之,ctfweb题目"docker镜像"需要我们对Docker容器进行分析和攻击,通过理解镜像的构成和原理,掌握Docker相关的命令以及使用一些安全工具,我们可以更好地解决这个题目并获得相应的分数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值