一天一道CTF 第14天(Post变量)

最新推荐文章于 2024-04-06 14:20:23 发布
最新推荐文章于 2024-04-06 14:20:23 发布
阅读量268 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/115125839
版权

[极客大挑战 2019]BuyFlag
在主页面的menu里找到PayFlag,查看源代码
在这里插入图片描述
在这里插入图片描述
提示我们要post两个变量password和money,password必须是404但不能是纯数字(老矛盾大师了),这里用的是php的弱类型比较,让password=404hhh,字符串跟数字比较的时候会自动截掉第一串数字之后的字符串。
在这里插入图片描述
bp抓包改成Cookie:user=1绕过第一道检测,让网站认为你是Cuiter。然后在repeater右上角Actions里change Request Method,请求体里加入password=404a。然后它会要求你pay for the flag,就再传&money=100000000
在这里插入图片描述

这时候它会提示你Number length is too long,这里有两种绕过方法,一种是改用科学计数法,money=1e9,另一种是money[]=100000000,绕过strcmp函数

scrawman
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF技能树,为初学者的一个认识ctf
10-22
ctf的一个树状图而已
一道ctf的misc题
12-18
一道ctf的misc题
CTF】sqlmap之POST注入的两种方法(-r 和--data)
HAPPY
07-30 8289
用sqlmap进行做post注入测试的时候,发现这么一种情况: 对POST请求,之前一直用 “-r txt文件”的形式,进行注入测试; 发现还有另一种POST,用“-r txt文件”的形式进行却无效,原来可以通过“--data="key=value"”来进行测试注入。   故以上两种情况都是post的,却还是有区别的   故此记录如下: 1:POST注入时,什么时候用“-r txt文...
ctf—SQL注入(post
YkingH的博客
07-07 1111
ctf—SQL注入(post) SQL注入漏洞介绍 ​ sql注入攻击指用用户构建特殊的输入作为参数传入web应用程序,通过执行sql语句,而执行攻击者所要的操作,主要原因是程序没有细致的过滤用户输入的数据,致使非法数据侵入系统。 ​ 任何一个用户可以输入的位置都可以是注入点。比如url中,以及http报文中,post传递的参数 1.信息探测 扫描主机开放的全部端口 nmap -T4 -p -靶场IP 快速扫描主机全部信息 nmap -T4 -A -v 靶场IP 探测敏感信息 nikto -host ht
CTF-SQL注入(POST
su__xiaoyan的博客
12-23 1573
实验环境: 攻击者:Kali Linux(192.168.0.10) 靶机:Oracle VM VirtualBox 6.1.10——Ubuntu(32-bit)(192.168.0.250) 实验流程: 信息探测 检测与靶机的网络连通性 端口扫描,服务探测 详细信息扫描 命令:nmap -A -v -T4 192.168.0.250 对80端口的web服务进行目录扫描 通过目录扫描发现一个phpmyadmin和登录页面login.php 登录页面没有验证码和防爆破机制,可以进行暴力破解。登录
ctfhub:ssrf中的post
qq_30396927的博客
05-01 1208
ctfhub:ssrf中的post题 开始通过尝试访问: view-source:http://challenge-c2ada75a64aad599.sandbox.ctfhub.com:10080/?url=file:///var/www/html/index.php ctrl+u查看网页代码获得 然后访问: view-source:http://challenge-c2ada75a64aad599.sandbox.ctfhub.com:10080/?url=file:///var/www/html/f
CTF-11.SQL注入(post
woo233的博客
09-20 924
SQL注入攻击指用用户构建特殊的输入作为参数传入Web应用程序,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中,POST传递的参数;只要是用户可以输入的位置都是有可能存在注入点的;漏洞扫描器的扫描结果也不一定正确。
CTF从入门到提升(一).docx
12-18
CTF从入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
CTF——攻防世界第一篇
01-08
下午看了关于ctf的视频,发现自己什么也不懂,明明每个字都是我认识的中文,但是组合到一起就不明白了。「我好难……」 而且,看视频我似乎没什么的耐性,一下午下来还是发现自己没学到什么。所以,今,我决定...
pin-in-CTF:使用intel pin来求解一部分CTF challenge
05-09
【标题】:“pin-in-CTF:利用Intel Pin工具解决CTF挑战” 【知识点详解】 Intel Pin是一款强大的动态二进制分析工具,主要用于程序行为分析、性能监测、代码插桩等场景。在“pin-in-CTF”项目中,开发者或安全...
CTFHUB POST
山兔的博客
09-12 808
一、POST 这次是发一个HTTP POST请求。对了.ssrf是用php的curl实现的,并且会跟踪302跳转.加油吧骚年。 1.什么是gopher协议 Gopher是Internet上一个信息查找系统,它将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具。使用tcp70端口。但在WWW出现后,Gopher失去了昔日的辉煌。现在它基本过时,人们很少再使用它;gopher协议支持发出GET、POST请求
CTF训练 web安全SQL注入(post)
梁辰兴的博客
10-24 1059
SQL注入攻击指的是用用户构建特殊的输入作为参数传入Web应用程序,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致的过滤用户输入的数据,致使非法数据入侵系统。任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中,POST传递的参数。只要是用户可以输入的位置都是有可能存在注入点的;漏洞扫描器的扫描结果也不一定正确。
详解 CTF Web 中的快速反弹 POST 请求
小水池
08-11 8401
目录 0x00 前言 0x01 Python Requests 安装并导入 requests 模块 发送 GET 请求与 POST 请求 查看请求头 查看响应头 查看响应内容 传递 GET 请求参数 传递 POST 请求参数 传递 Cookie 参数 会话对象 Session() 0x02 writeups 【实验吧 CTF】 Web —— 下武功唯快不破 【Bugk...
CTF之GET和POST
qq_74263993的博客
04-06 440
学过php都知道就一个简单传参,构造payload:?what=flag得到。
post&get(ctf)
2201_75556700的博客
12-01 111
3.这时候我们需要利用到一个插件--->hackbar(这个在edge或者火狐都可以下载安装),具体的下载安装,大家自己在网上找方法。1.启动环境,来到网页,我们看到这条提示后,可以在url(地址)后面添加?/get=0.如下图所示。4.接着我们回到提示的网页,fn+f12调出控制台,执行这些步骤。5.最后我们可以看到,页面中显示了flag(红色框框)2.回车之后,我们可以看到网页有新的提示。
BugkuCTF web基础$_POST
鱼的博客
01-20 666
php语言,post传参。 hackbar。 flag{bugku_get_ssseint67se}
CTF Bugku POST
m0_50917178的博客
08-18 645
进入场景之后,出现了一串PHP源代码,可以看出本题和之前的GET题是一摸一样的。那么就是用POST方法将参数传过去就可以了。这里我用的是Python的requests库来构造的HTTP连接,如果有其它方法可以在评论区分享一下。 import requests url1 = 'http://114.67.246.176:17658/' a = requests.post(url1, {'what': 'flag'}) print(a.text) 运行结果为: 得到了flag 本题总结:本题考察了PO.
bugku ctf Web POST 解题思路
m0_73734159的博客
10-12 563
bugku ctf post j解题思路
小白学习CTF第七-web安全sql注入(post
bbhh1139的博客
04-18 567
post参数注入 sql注入介绍 信息探测 针对一些http服务的: 使用nikto进行http扫描: 再使用dirb继续进行探测: 敏感信息的探测: 漏洞扫描 使用owasp-zap 探测完之后,没有高危漏洞。 漏洞利用 sqlmap -r request.raw --level 5 --risk 3 --dbs --dbms mysql --batch sqlmap ...
csrf ctf post
最新发布
05-08
CTF(Capture the Flag)是一种网络安全比赛,参赛者需要利用自己的技能在攻防场景中寻找漏洞并获取 flag。 POST 是 HTTP 协议中一种请求方法,用于向服务器提交数据。相比于 GET 请求,POST 请求可以传递更多的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值