CTF竞赛入门(二)WEB 安全

最新推荐文章于 2024-05-08 18:04:26 发布
最新推荐文章于 2024-05-08 18:04:26 发布
阅读量817 收藏 9
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/single7_/article/details/109734508
版权

web 安全

概述

  • 信息收集
  • HTTP/JSP
  • 代码审计
  • SQL注入
  • XSS利用
  • 文件包含
  • 文件上传
  • CMS漏洞利用

web安全实验环境

PHP环境:phpstudy
JAVA环境:jdk
python环境:python3/2.7,anaconda,activepython

安全工具的使用

sqlmap

SQLMap 是一个开源的渗透测试工具,可以用来进行自动化检测,利用 SQL 注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

同时它也支持五种注入模式:

  1. 基于布尔的盲注,即可以根据返回页面判断条件真假的注入;
  2. 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中;
  3. 基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;
  4. 联合查询注入,可以使用 union 的情况下的注入;
  5. 堆查询注入,可以同时执行多条语句的执行时的注入

burpsuite

Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite

最低0.47元/天 解锁文章
senjy7
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
ctf (Do_you_know_http)
Glacier_Mount的博客
06-27 2342
burp suite的简单应用
零基础小白怎么入门CTF?全网最全CTF入门指南
最新发布
Cairo_A的博客
05-08 886
目前大多数CTF比赛的主流形式,选手自由组队参赛(在线比赛人数一般不做限制)。题目通常在比赛过程里陆续放出。接触一道题目后,提交题目对应的flag即可得分,比赛结束后分高者胜。
CTFWEB基础篇
qq_53058639的博客
03-17 3794
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
BUUCTF——[HCTF 2018]admin
Ho1aAs‘s Blog
05-16 827
文章目录利用点审题解题——Flask session解2——Unicode编码欺骗解3——(非预期)弱口令爆破参考完 利用点 Flask session Unicode编码欺骗 (非预期)弱口令爆破 审题 打开环境,主页仅提供了login和register两项服务,hctf的超链接打开是404 提示那么少,先看看主页的源码 结合题目以及提示,可以断定是要登录管理员账户,先注册一个账户,看看登录有些什么内容 新增了post和change password功能,在change password找到hin
CTF 绕过前端JS加密进行密码爆破
baynk的博客
03-23 2905
这头像真是骚气的。。。 随意输入了下用户名和密码,有提示 再试了下admin 看来用户名已经OK了,关键是密码了,直接丢Burp中去。 发现密码好像被加密了,那就只有可能是前端来完加密的,先去前端找JS. 这个有个Base64。。刚刚开始我以为就是通用的base64,于是去用burpsuite中自带的加密进行处理。。 结果自然悲剧了,,,因为没跑同来,自己去查了下JS,JS好像没有自带b...
CTF比赛网络安全竞赛渗透测试入门资料.rar
05-22
CTF比赛网络安全竞赛渗透测试入门资料》是一个包含丰富资源的压缩包,旨在为初学者提供进入网络安全竞赛,特别是渗透测试领域的基础知识。CTF(Capture The Flag)是一种流行的信息安全竞赛形式,参赛者通过解决...
CTF全栈指南(入门篇).pdf
01-01
CTF全栈入门CTF各类技能精通,web、逆向、pwn、密码学、杂项等等。 对新手更加友好,对CTF更加保存热情,
CTF入门到提升(一).docx
12-18
CTF竞赛题型主要包括Web网络攻防、RE逆向工程、Pwn二进制漏洞利用、Crypto密码攻击、Mobile移动安全以及Misc安全杂项等。Web网络攻防是CTF的主要题型,题目涉及到许多常见的Web漏洞,如XSS、文件包含、代码执行、...
CTF相关资料合集打包上传
03-02
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种技术挑战来获取虚拟“国旗”,这些挑战通常涉及网络攻防、密码学、逆向工程、Web安全等多个领域。本压缩包集合了丰富的CTF相关学习资料,对于想要...
CTF 入门指导教程
12-04
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员...而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
BUUCTF学习笔记-admin
Emmawas的博客
09-25 1284
CTF考点:session欺骗、flask框架
CTF-BUUCTF-Web-[HCTF 2018]admin
qq_42404383的博客
12-31 1355
CTF-BUUCTF-Web-[HCTF 2018]admin 题目: 先熟悉下网站,有这些功能:注册、登录、上传文章、修改密码、登出、无法注册admin。 得到的两个提示: 解题: GitHub上down源码 妈妈桑,python学了点毛! 从文件结构和routers.py中都可以看到调用了模板,打开一看,很熟悉的东西出来了 能够admin登录即可拿到flag!!! {% if cur...
jsp a 请求后台_渗透或CTF中使用请求头绕过认证模式
weixin_32141627的博客
01-29 398
前言为了提升下英语水平,尝试翻译篇比较简单的文章,还望各位大佬轻喷。在渗透过程中,如果想要找到绕过认证机制的漏洞问题,我们需要对登录后也就是认证后的每一个功能和请求进行如下验证:是否可以未授权访问登录后的路径从而获取一些敏感数据;是否退出登录后,cookie仍然有效,从而获取敏感数据;是否存在水平与垂直越权问题;如何进行测试例如,AddUser.jsp是一个管理页面,需要管理员登录后,通过如下链接...
ctf.show命令执行(web29-web124)
wanan的博客
08-31 5316
ctf.show命令执行(web29-web124)
国内首本CTF赛事技术解析书籍,五年之约,兑现了
华章IT官方博客
07-01 941
新书速递每一个CTF战队的发展其实都面临着一个问题,那就是“如何传承”。作为一个联合战队,随着老成员走向工作岗位,如何用良好的机制实现新老更替,是战队管理者需要认真考虑的问题。我们也尝...
啥是CTF?新手如何入门CTF
热门推荐
MachineGunJoe666
08-18 3万+
CTF是啥 CTF 是 Capture The Flag 的简称,中文咱们叫夺旗赛,其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜,当有一方的旗帜已被敌军夺取,就代表了那一方的战败。在信息安全领域的 CTF 是说,通过各种攻击手法,获取服务器后寻找指定的字段,或者文件中某一个固定格式的字段,这个字段叫做 flag,其形式一般为 flag{xxxxxxxx},提交到裁判机就可以得分。 信息安全CTF 的历史可以说很长了,最早起源于 96 年的 DEFCON 全球黑客大会 为啥要参加CTF 入门渗.
小白怎么入门CTF,看这个就够了(附学习笔记、靶场、工具包下载)
m0_74131821的博客
05-31 7084
CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的各种CTF杯),在职人员可以工作意外提升信安全技能。
[CTF]对支付软件的漏洞利用buyflag
网络安全知识分享
01-28 3457
对支付软件的漏洞利用 考点 安卓应用的简单逆向、反编译、patch、重打包 对安卓应用的通信流量进行抓取和分析 XXE漏洞及其利用 思路 首先patch掉禁用注册的源码 通过git泄露获得服务端web源码 源码审计 通过xxe漏洞获得key 利用key伪造交易信息给自己充值 step1 获取到apk 首先我拿到了一款支付软件的安装包,我们先在模拟器中安装好这个软件,我们发现这里的注册按钮是无法使用的,如下图: 这时,我们要利用移动端逆向的知识,patch掉禁用注册按钮的的代码 工具:apktool
ctf安全竞赛入门 pdf 下载
06-25
对于想要学习ctf竞赛的人来说,《ctf安全竞赛入门pdf》是一本不可多得的好书。其主要介绍了ctf安全竞赛的基础知识,包括恶意软件、漏洞利用、密码分析等方面的内容。此外,该书注重实践,提供了很多实际操作的案例和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值