CTF总结

最新推荐文章于 2024-04-19 22:27:10 发布
最新推荐文章于 2024-04-19 22:27:10 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38418878/article/details/120773710
版权
本文记录了作者初次参加CTF比赛的经历,主要涉及SQL注入、XSS攻击、robots.txt利用、HTML源码分析、URL篡改、编码格式识别及上传漏洞等安全问题。通过手动挖掘,作者发现了多个安全漏洞,对于提升网络安全意识和实践技能具有指导意义。
摘要由CSDN通过智能技术生成

昨天参加了一场公司举办的CTF,虽是初级场,但是自己真正第一次参加,觉得甚是有意思,可惜没有参考答案,只能趁热记录下来自己挖出来的漏洞。

1. SQL注入

在输入框或者url里可以尝试SQL注入
譬如username中输入[ \’ or 1=1#] 便可免密登录,因为查询语句是 select * from DB where username=’’ or 1=1 # password=’
#后面的内容被注释掉了,有时候–也可以用于注释。

2.xss攻击

在输入框中尝试输入<script>alert("XSS on Product Search");</script>会执行个语句。

3.robots.txt

web根目录下输入robots.txt,尝试输入上面列出的Allow和Disallow的url

4. HTML

1)查看html的源代码,小心里面的hidden字样,它会帮你找到隐藏款。
譬如,<input type="hidden" name="redirect" value="" id="doLogin_redirect">
如果去掉了type="hidden",在显示出的输入框中输入其他的网址,如http://evil.com,那么用户在登录的时候会自动跳转到其他的

最低0.47元/天 解锁文章
小冻子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验四 CTF实践
qq_45538874的博客
12-09 311
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。 ...
ctf近期学习大总结(一)
weixin_43342135的博客
09-06 1716
经过上次的自闭赛之后,明白了总结的重要性+实战+刷题+看书+基础 ctf中一定要学会python,不然拿到题目,知道思路,就是写不出flag,那就很是尴尬了 由于接触到的赛题太少了,这里就有点low了,望各路大佬请多指教。 ctf是一门综合的比赛 关于web方面: 对于简单题: 终究其本质就是在 利用 web的基础知识 出题,比如说让你 利用 burpsuite 修改 访问的ip ,再比...
BUUCTF_[强网杯 2019]随便注
qq_45628145的博客
04-25 578
BUUCTF_[强网杯 2019]随便注 进入题目环境 进去之后输入框就有一个1,提交。 这里可以看到查询出了1和hahahah。 判断有没有注入点 输入1’,报错了。 输入1’ and 1=1 #,查询结果和1一样。 输入1’ and 1=2 #,无回显,因此,判断这里存在注入点。 输入1’ or 1=1#,得到了这个表里面的所有内容。 开始注入 可以看到上面查询结果有1和hahah...
CTF精华总结
12-22
CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛 CTF 信息安全 竞赛
实训五总结
最新发布
qq_75033600的博客
04-19 169
这种过程不仅锻炼了我的专业技能,也增强了我对网络安全问题的敏感性。它不仅提高了我的专业技能和团队协作能力,还让我对网络安全有了更深刻的认识。每个人都有自己的专长和优势,通过团队协作,我们可以将各自的优势结合起来,共同攻克难题。在竞赛中,时间紧迫,压力巨大。在解决网络安全问题的过程中,我们需要始终坚守法律和伦理的底线,为社会贡献自己的力量。CTF,Capture The Flag,即夺旗赛,是一种网络安全竞赛,旨在测试在网络安全领域的技能和知识。自从我参与了CTF实验,我对其有了更深入的了解,并且收获颇丰。
ctf学习小结
clearloveQAQ的博客
11-20 2875
1.index.php的文件备份:index.php.bak 2.只要是变量后面紧跟这着(),那么就是对这个变量进行函数调用 3.GLOBALS全局变量的使用 global关键字可以把局部变量变为全局变量,全局变量的引用如:对变量a1,写法$GLOBALS[‘a1’] 4.highlight_file不能对数组高亮 5.php命名规则,只能包含数字,字母,下划线(开头只能是下划线和字母) 如CTF_SHOW.COM不合法再php中点和空格会被转化成下划线但是由于系统监测只会检测一次我们可以用双写
CTF竞赛知识总结(持续更新)
余笙.'的博客
07-14 3950
PNG 文件头:89 50 4E 47 文件尾:AE 42 60 82JPG(jpeg) 文件头:FF D8 FF 文件尾:FF D9ZIP 文件头:50 4B 03 04GIF 文件头:47 49 46 38 文件尾:文件头修复:将图片的文件头修改为正确的文件头16进制异或: 工具---十六进制运算---二进制异或更改图片的高度或者宽度记录图片的拍摄日期、宽度、高度、分辨率、位深度等 kali中使用exif隐写: exiftool + 图片名称 (显示文件信息、备注信息) 文件筛选:exiftoo
ctf总结.md
05-14
自己在做CTF过程中做的总结下面中实验室指的是网络安全实验室 题目全部来自bugku,南邮和网络安全实验室,题较基础,实验吧要复杂些 文中所有知识点内容并不全,要学习原理及深入得自己去找资源学习 看这个的时候,...
CTF常见密码总结.docx
04-10
ctf解题中总结的一些实用的密码(编码方式),非常适合刚入坑的新手参考学习。比如常见的栅栏密码,摩斯电码,还有一些不常见的比如培根密码等等等等,非常全面!!!
CTF隐写详细总结,自带ctf工具集
11-30
CTF隐写详细总结,自带ctf工具集。 0、图片隐写 1、音频隐写 波形隐写 频谱隐写 LSB隐写 2、视频隐写 3、Base64隐写 4、Python代码隐写 5、Pdf隐写 6、Office文档隐写 7、Ntfs数据流隐写
CTF,ISCC各个隐写总结
08-29
这篇总结将深入探讨CTF和ISCC比赛中的隐写术知识。 首先,我们要理解隐写术的基本原理。隐写术通过改变载体文件(如图像的像素值、音频的采样点或视频的帧)的微小部分来嵌入秘密信息。常见的隐写方法有LSB(Least ...
configurable-graphql-ctf:可配置的GraphQL CTF
04-05
可配置的GraphQL CTF 这是捕获标记(CTF)样式格式的故意脆弱的GraphQL API。 开箱即用,它带有5个可配置的质询模块。 配置者应该能够配置挑战难度以及打开和关闭挑战。 所有挑战模块都具有电子商务的共同主题。 挑战基于; 认证失败 配置错误的访问控制 恶意查询 SQL注入 自定义标量验证 内容 安装 挑战配置 运行自己的CTF 制定自定义挑战(可扩展性) 1.安装 1.1安装依赖项 npm run install 1.2设置环境变量 复制.env.example并重命名为.env 使用MySQL和MongoDB凭据更新.env(该文件不受源代码控制) 保持“ CORE ENVAR”变量不变 对于“自定义标量验证”和“ SQL注入”的挑战,请从“ ./migrations”设置MongoDB集合和SQL数据库脚本。 1.3编译TypeScript npm r
CTF训练一周的总结
zhoess的博客
04-12 605
关于CTF训练的一周总结 实验一:4进制 先看题 打开的时候,我的第一反应就是这是一个密码学的简单的进制转换问题。但是究竟是转换成几进制呢? 在我玄学了一段时间之后 采用了非常简单尝试法(从二进制 八进制 十进制 十六进制去尝试) 在尝试多遍后就得到了这样的一串数字: 进制 转化后 16进制 53 65 42 61 46 69 7B 46 6F 75 72 62 61 73 65 31 32 33 7D 10进制 83 101 66 97 70 105 123 70 111 70
CTF解题小记--心得记录1
Air_cat的博客
07-27 519
CTF解题笔记 (Aircat) RSA题 没什么好说的,解析后分解大素数,py脚本解密。(逆向不会考高难rsa吧,,大概) 参buu还是xctf的某一题 import gmpy2 import rsa e=65537 n=86934482296048119190666062003494800588905656017203025617216654058378322103517 p=285960468890451637935629440372639283459q=30400874160460192449432
ctf训练一周总结
萍水间人的小天地
04-07 244
是时候解释一下一周没有更新的原因了 今天4月7日, 过去的一周里面, 我大概做了以下事情 sql注入总结, 包括 数字型 字符型 布尔型 盲注总结 docker成功地在虚拟机中搭建了环境, 试水了两道web题, 一题没看出来是.git源码泄露, 另外一题是xxe泄露, 小白目前还不是很懂 趁势总结了一些源码泄露的情况,包括.git源码泄露, .DS_store源码泄露, .sw...
实训小结
aDensefog的博客
07-13 685
    时光飞逝,转眼间两星期的小学期实训就要告一段落了。回想过去的两个星期,我收获良多。   从第一天,我不知道代码所表达的意思,只知道抄写代码,完成作业,当一星期结束后,我仍然处于一知半解的样子。终于,等第二个星期开始,需要以小组为单位进行项目的编写和开发,这时便没有了现成的代码可以抄写,更多的得靠对代码的理解和自身的创作。很显然,我基本上什么都不会,写一个功能卡壳后,出现错误,我不懂错误在哪...
2021-07-24 第二周CTF学习总结
scalpel_x的博客
07-24 772
写在前面 在继续了解CTF、网络空间安全等相关知识后,我决定学习网络上成体系的Web安全教程,将学习方向扩展到和未来职业相关度的Web安全,而不是盯着CTF的比赛内容,且CTF中,Web安全也占据很大的一部分。 下面是这一周学习内容的总结。 概念名词 域名 什么是域名 网站的名称 在哪里注册域名 万网(阿里云) 域名发现对安全测试的意义 当在顶级域名下的主站没有搜索到漏洞时,可以通过多级域名,测试二级域名下网站的安全,并从二级域名下的网站逐渐摸到主站。 DNS 什么是DNS 域名系统服务协议,用于域名与IP
CTF总结(2)
山兔的博客
09-13 656
1.没有高手和菜鸟,只有玩的多和少。 2.借助:文章、视频教程、社区论坛、 社交软件QQ可以交安全的朋友。 一、CTF-WEB-学习条件 3.编程语言基础:PHP、Python、PythonWeb、Java、JavaWeb等。 4.漏洞工具基础:Nmap、SqlMap、BurpSuite、Metasploit等。 5.代码审计基础:PHP代码审计、PythonWeb代码审计、JavaWeb代码审计等 二、CTF-RE-学习条件 1.编程语言基础:C/C++、 x86汇编、x64汇编等。 2.其他技能基础:堆
ctf
Lice_420的博客
04-19 163
第二周作业总结 第一次作业 题目是这样的 2017世安杯ReverseMe 实训描述: flag格式flag{} 然后再下载附件 得到 看文件名可以看出是反转的意思 然后编写python代码 之后得到文件用画板打开可以得到 反转之后得到答案flag{4f7548f93c7bef1dc6a0542cf04e796e} 第二次作业 这题题目 实训描述: hwwfutfjstgbzxxq ,y=3x+7,flag 格式是 SeBaFi{} 题目名字是Affine, 百度翻译是仿射的意思 刚刚开始没有头绪 再问

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值