chrome代理插件_CTF|你所关注的CTFer都在用的插件合集【附:XXE补给+CTF训练集】...

最新推荐文章于 2024-05-17 10:36:14 发布
最新推荐文章于 2024-05-17 10:36:14 发布
阅读量1.6k 收藏 1
点赞数
文章标签: chrome代理插件 ctf wav文件头损坏 easy math!(提交flag{}所包裹得字符串) rhino导出su文件写入插件程序发生错误
不看后悔系列,建议收藏

相信大家对 CTF 都不陌生了,今天为大家带来了一系列 CTF 必备 Chrome 插件。

CTF

可能很多人想学 CTF,但又怕零基础学不懂。其实,CTF 并没有那么难。

CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF 是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。

0b4ec47d1d320c5c66d238370ca69345.png

很多大赛的大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。

为了方便称呼,我们把这样的内容称之为“Flag”。

还有就是以答题分先后获取相应的分数,进行排名赛,这也是很多高校 CTF 所热衷的一种比赛形式。(例子就不举了,相信你的学校也有这种比赛,可多多关注)

a1980052cee79c73fb9a37beab382278.png

在民间还流传着很多各式各样的 CTF 练习题或平台,有的专项的针对性训练,比如说 XSS 挑战,有的是类似于“游戏”形式的 CTF 训练。

【相关 CTF 资料/平台,见文末❤】(够你吃一个月的纯干粮 )

Chrome 插件

那就直奔主题吧,先来个“老熟人”。

HackBar

这个不多说,必备的。(在 Chrome 上有几个版本,用自己喜欢的)

5e4e362fcbbed8c11ce397c550a75d27.png

或者你可以用 firefox 上的版本,算是插件中的“大哥大”了。

Proxy SwitchyOmega

这个用来切换代理很方便。

https://chrome.google.com/webstore/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif?utm_source=chrome-ntp-icon

管理界面如下:

ab285e6795db53785a144e95fdfb5780.png

比如添加一个 Burpsuite 的代理设置

c294b8fb743b0e5abf7bc3ea2018a14d.png

使用的时候只需点击切换即可,特方便。

ff66aba53133f045d1dd2e1b99acebd6.png

EditThisCookie

这个用来查看、修改 cookie 很方便。

https://chrome.google.com/webstore/detail/editthiscookie/fngmhnnpilhplaeedifhccceomclgfbg?utm_source=chrome-ntp-icon

比如我登录了知乎,我只需点一下右上角的快捷方式,就可以看到当前的 cookie 值。

5feddca1444d5725efec41dca810c25e.png

(方不方便,你用用就知道!)

ModHeader

功能有点多,用得最多的还是加 head 头。

添加和修改HTTP请求标头和响应标头。

https://chrome.google.com/webstore/detail/modheader/idgpnmonknjnojddfkpgkljpfnnfcklj?utm_source=chrome-ntp-icon

功能特征

  • 添加/修改/删除请求标头和响应标头
  • 启用基于URL /资源类型的标题修改
  • 在标题中添加评论 -多个不同的配置文件
  • 按名称,值或注释对标题进​​行排序
  • 将值附加到现有请求或响应头
  • 导出和导入标题
  • 克隆个人资料
  • 云备份
  • 标签锁定

b895009b09ae8aa984b8829c25185405.png

JavaScript Toggle On and Off

一键禁用/开启 js。(你想执行JS?我说了算!)

https://chrome.google.com/webstore/detail/javascript-toggle-on-and/cdcgbgnfhhdmdkallfmlachogpghifgf?utm_source=chrome-ntp-icon

ff2e101953cdcaab11f3a46f612b42eb.png

Wappalyzer

可发现网站上使用的技术。它检测内容管理系统、电子商务平台、Web框架、服务器软件、分析工具等。

https://chrome.google.com/webstore/detail/wappalyzer/gppongmhjkpfnbhagpmjfkannfbllamg?utm_source=chrome-ntp-icon

更多的是用于查看服务器的配置。(把你“扒光”只需要一秒钟)

af6d7cdabe26e79df304e6f0c267fa3f.png

Video Downloader professional

可下载网页中的视频。。。(咳咳,敲黑板,用于 CTF 学习哈)

https://chrome.google.com/webstore/detail/video-downloader-professi/dakbpnomcpnfffehgdgdcfkaljdfbggj?utm_source=chrome-ntp-icon

546650e1a3cb9142a826a6c7524ecff9.png

下载管理器

为什么要推荐这个?你用 Chrome 下载东西试试,我相信你会回来的。

https://chrome.google.com/webstore/detail/download-manager/daoidaoebhfcgccdpgjjcbdginkofmfe?utm_source=chrome-ntp-icon

8c2fc2d93705ddb60236d37979f8fcfc.png

好了,今天分享的 Chrome 插件就这些了(如有更好更棒的插件,欢迎下方评论区疯狂戳我)

周末别闲着,快起来学知识了。 —— 二向箔安全

XXE 补给站

众多 CTF 题型中,XXE 无疑是一大难题,有多少英雄豪杰倒在了 XXE 的碎花裙下,今天我们就来掀开这神秘的面纱。

XXE 漏洞(XML External Entity Injection)即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起 dos 攻击等危害。xxe 漏洞触发的点往往是可以上传 xml 文件的位置,没有对上传的 xml 文件进行过滤,导致可上传恶意 xml 文件。

XML

在掀裙之前,我们要先搞清楚 XML 是啥?

XML:可扩展标记语言,标准通用标记语言的子集,XML被设计为传输和存储数据,其焦点是数据的内容,其把数据从 HTML 分离,是独立于软件和硬件的信息传输工具。与 HTML 的区别:

  • HTML 被设计用来显示数据
  • XML 被设计用来传输和存储数据

XML 文档结构

XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。

<!--XML申明-->

XXE 漏洞其中的 DTD 文档相关。

DTD

文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。

DTD 可被成行地声明于XML文档中(内部引用),也可作为一个外部引用。

内部声明DTD:

<!DOCTYPE 根元素 [元素声明]>

引用外部DTD:

<!DOCTYPE 根元素 SYSTEM "文件名">

DTD文档中有很多重要的关键字如下:

  • DOCTYPE(DTD的声明)
  • ENTITY(实体的声明)
  • SYSTEM、PUBLIC(外部资源申请)

实体

实体可以理解为变量,其必须在 DTD 中定义申明,可以在文档中的其他位置引用该变量的值。实体按类型主要分为以下四种:

  • 内置实体 (Built-in entities)
  • 字符实体 (Character entities)
  • 通用实体 (General entities)
  • 参数实体 (Parameter entities)

实体根据引用方式,还可分为 内部实体 与 外部实体:

内部实体:

<!ENTITY 实体名称 "实体的值">

外部实体: 

<!ENTITY 实体名称 SYSTEM "URI">

外部实体

外部实体即在DTD中使用

<!ENTITY 实体名称 SYSTEM "URI">

实例演示:

<?xml version="1.0" encoding="utf-8"?>

举一个简单的 XXE

传输数据的 XML 文档 demo:

<?xml version="1.0" encoding="utf-8"?>

如果在这里使用外部实体

<?xml version="1.0" encoding="UTF-8" ?>

另一种是调用 dtd 文档的

<?xml version="1.0" ?>

test.dtd 的内容为:

<!ENTITY xxe SYSTEM 'file:///etc/passwd'>

XXE 绕过姿势

整理众多 CTF 大赛中的 XXE 题,这里汇总了一些常用的绕过姿势(若有错误、不全,欢迎大佬评论区指正,小弟感激不尽 )

大小写绕过

利用其正则匹配的不严格,通过大小写绕过

html 实体编码绕过

如果过滤了http等协议,可以利用实体编码绕过:

<?xml version="1.0" ?>

data:// 协议绕过

<?xml version="1.0" ?>

file:// 协议加文件上传

<?xml version="1.0" ?>

php://filter协议加文件上传

<?xml version="1.0" ?>

进行编码:

<?xml version="1.0" ?>

XXE 漏洞修复与防御

1️⃣推荐使用开发语言提供的禁用外部实体的方法。

PHP:

libxml_disable_entity_loader

JAVA: 

DocumentBuilderFactory

Python:

from

2️⃣过滤用户提交的 XML 数据

过滤关键词:

  • <!DOCTYPE
  • <!ENTITY
  • SYSTEM
  • PUBLIC

附(够吃一个月的纯干粮)(若无法访问评论区戳我 ):

训练场

CG CTF

e78dee32f78c080b3fe52e6abb8509a2.png

CG-CTF

二向箔安全训练场

d85034645b7483b21822b8ff17067a45.png

https://twosecurity.cn/courseTask.html

Hacker101

c8e3258f28ecc93c706a7f5369303d93.png

https://github.com/Hacker0x01/hacker101

Jarvis OJ(贾维斯)

42dd8c50e061665a803adbfbd16ef72d.png

https://www.jarvisoj.com/challenges

SQLI实验室

6bbb7eabecf1d22b831d46e9aad704d5.png

Audi-1/sqli-labs

XSS game

df094ff7ea96287630898e524ba28e50.png

https://xss-game.appspot.com/

Pikachu

一个好玩的Web安全漏洞测试平台

db69d6eff32e9444781044cfed64063e.png

zhuifengshaonianhanlu/pikachu

BugkuCTF

3b64fa0dc2096a76cf792cb7bbac3aa6.png

BugkuCTF - 练习平台

CTF_论剑场

65fcbe39490839fd8632d0e787cff3e9.png

Sign in - CTF_论剑场

Root Me

d0bb6133403ae2d193950325812754ae.png

https://www.root-me.org/en/Capture-The-Flag/

XSS Challenges

8d69fcd9f5baba63acce8f57e330347e.png

https://xss-quiz.int21h.jp/

皇家邮电渗透测试平台

fe2f8103bd4cb026c59345ac59de959e.png

http://cms.nuptzj.cn/

XCTF(攻防世界)

9d2064873aaa1e7013f72d3dda5cc4d6.png

https://adworld.xctf.org.cn/

DVWA(在线版)

bd0fb12be7f248aa291dd2a7bd0a26b1.png

http://43.247.91.228:81/login.php

https://www.vulnspy.com/dvwa/

XSS 闯关游戏

243893c81200be0df361d52459f4a955.png

https://xss.haozi.me/

BUUCTF 训练平台

7c6b8549b66f869575e53698d5c4d657.png

https://buuoj.cn/

知识库

Web CTF 备忘录

e56bdbea9cc6c673685a68be3bbc3341.png

w181496/Web-CTF-Cheatsheet

Bugku工具库

894705ac029c8c9962e589616028b9d9.png

https://tool.bugku.com/

d919c23689df1227c60e8f01b408dd50.png
CTF实战特训课程,基本不收费,在实际比赛题目中练习相关技能
知识盒子​zhishihezi.net
ae9c00a9165d675921389165e898f4d9.png
weixin_39615419
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA网络安全靶场搭建与练习 攻略和在线版
01-02
网络安全靶场搭建与练习攻略和在线版
ctf今天是个好日子_备婚第一步| 如何选个好日子!?2020年婚嫁旺日盘点
weixin_28831341的博客
12-22 132
据说2020年是婚嫁好年,各位新人都极度喜欢!为什么是好年呢?我们探究了一下,有以下三个原因:2020年是闰年,也有闰月,闰年闰月映衬成双成对2020都是双数而且音译是“爱你爱你”❤2019年没有立春,是盲年。民间有“盲年无春,不宜结婚”的说法?!所以很多新人都等2020年再结婚。无论是南北方地区,大家都极其注重良辰吉日。办婚礼第一个需要筹备的就是结婚的日子了~那一般人是怎么选结婚日子的呢?一是看...
CTF比赛必备常用工具——好的工具助你所向披靡
最新发布
ewii12567的博客
05-17 867
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中, REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
提升开发效率的google插件
EverythingAtOnce的博客
01-15 1129
在如今的软件开发领域,Google Chrome浏览器的开发者插件扮演着至关重要的角色,为开发人员提供了丰富的工具和功能,从而提高了开发效率。下面介绍几款强大的 Google 插件,它们在不同方面为开发者提供了便利,并能显著提升工作流程。安装下面插件都需要科学上网哦~
不容错过的 Chrome 插件推荐合集-开发者必备篇
sinat_35778444的博客
06-14 4138
没有安装扩展的浏览器,只发挥了 20%的功力。谷歌Chrome浏览器全球市场份额已接近 70%,谷歌浏览器除了本身方便易用外,各种各样的插件也让浏览器的功能发挥到了极致。今天我们来介绍...
VNCTF2021 misc wp
qq_49354488的博客
03-16 1207
Misc 这次比赛排名在25,还可以。 [VNCTF 2021]Check_In 签到 打开题目底下就是 vnctf{Have_a_good_time!} [VNCTF 2021]Questionnaire 问卷,做完就给 比赛时候没做这个问卷,导致排名往后掉了几名 vnctf{See_you_next_time} [VNCTF 2021]冰冰好像藏着秘密 解压出来得到一个png图片, 文件名是FFT我们搜索一下 搜到博里叶变换,我们继续搜一下博里叶变换脚本 因为之前的件可能存在问题,并没有跑
githack泄露利用_softlysu3_ctfgithack_githack_CTF之.git泄露_githack下载_
10-03
GitHack 是一个针对 `.git` 目录泄露的利用工具,主要用于网络安全竞赛(CTF,Capture The Flag)中的Web安全领域。`.git` 目录是Git版本控制系统的一部分,通常包含项目的完整历史记录和敏感信息,如源代码、配置...
CTF夺旗战 基于Behavior Designer和DoTween插件.zip
12-29
在IT行业中,CTF(Capture The Flag)是一种流行的网络安全竞赛,参与者通过展示各种技术技能来攻防对抗,争夺虚拟“旗帜”以得分。本资源"CTF夺旗战 基于Behavior Designer和DoTween插件.zip"似乎是一个与游戏开发...
md5.zip_ctf的md5题_md5 ctf_md5 ctf_md5解密 ctf_解密
09-20
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它能够将任意长度的信息映射为固定长度的输出,通常是一个128位的二进制数,以32位十六进制数的形式表示。在CTF(Capture The Flag)竞赛中,MD5常常被...
hac.zip_CTF信息隐写_ctf
09-23
【标题】"hac.zip_CTF信息隐写_ctf"是一个关于CTF(Capture The Flag)比赛中的信息隐写技术的入门教程。CTF是一种网络安全竞赛,参赛者通过解决各种安全问题来获取“旗标”或关键信息,以此赢得比赛。而信息隐写则...
CTF.rar_ctf_seed7rj
09-21
【标题】"CTF.rar_ctf_seed7rj" 暗示了这是一个与网络安全相关的挑战,CTF(Capture The Flag)是网络安全领域常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等技能。"seed7rj"可能是这次挑战的一个特定标识...
JavaScript切换开关。「JavaScript Toggle On and Off」-crx插件
03-21
切换JavaScript引擎的简单方式。 JavaScript Toggle On和Off的目的是提供一种简单而可靠的方法来打开和关闭JavaScript执行。与其他同类产品相比,此加组件可以在正常模式和隐身模式下使用,并且对您的网络浏览影响最小。请注意,默认情况下,扩展名在隐身模式下不可用。您需要通过打开加载项管理器页面并选中“允许隐身”来激活它。选中该选项后,扩展名将出现在所有窗口中,并且在两种模式下都将发生阻塞。请注意,安装后,该扩展默认情况下不处于活动状态。每当需要阻塞时,只需单击工具栏按钮。有关如何使用此扩展程序的更多信息,请访问:http://add0n.com/javascript-toggler.html有关错误报告,请访问:https://github.com/rNeomy/javascript-toggle-on-and-off /从0.1.5版本开始,您可以为白名单定义域列表。这意味着即使在全局范围内,选项页面中列出的域也将允许JS执行。这对于不启用JS就无法运行的Gmail等网站非常有用。从0.1.6版开始,扩展在切换工具栏按钮后自动刷新当前选项卡。如果这不是您的首选行为,请使用选项页将其禁用。从版本0.1.9开始,可以为“启用”和“禁用”模式定义白名单和黑名单。该扩展名还强制刷新当前页面(Shift + F5)。您可以选择禁用“启用”和“禁用”事件的自动刷新。支持什么类型:1.顶部和框架元素上的内联JavaScript 2.顶部和框架元素上的数据URI JavaScript 3.顶部和框架元素上的外部JavaScript 4.内联事件5.“ javascript:” URIs 6. setTimeout评估7 [removed]执行 支持语言:English
CTF学习第一又二分之一站——环境配置之火狐浏览器代理设置
qq_41174589的博客
10-01 354
3.选择FoxyProxy Standard并添加到Firefox。5.左侧添加,设置IP为127.0.0.1,端口8080并保存。1.打开Firefox浏览器,在右上角找到扩展和主题并点开。6.打开BurpSuit确保接口与firefox中相同。注:Firefox与BurpSuit的安装省略。2.在搜索框中搜索proxy。4.右上角拼图状图标内点选项。
暑期CTF练习——第三周
AlienEowynWan的博客
07-20 226
攻防世界reverse进阶区easyRE1 下载后发现有两个文件 似乎是一个32位一个64位 先查一下32位的壳 拖到ida 居然一眼就看到了flag,有点出乎意料,尝试输入 FLAG:db2f62a36a018bce28e46d976e3f9864 和 db2f62a36a018bce28e46d976e3f9864 都显示不正确,似乎也没有密码的样子啊…… 看一下另一个文件吧 查壳 显示的有关flag字符串居然是一样 或许又是格式坑 试了好几种格式之后成功得到 flag是:flag{db2f
CTF-Web(停不下来的JS)
Zhang_hongchao的博客
02-21 721
题目:打开题目后出现一个网址,不停的刷新。 1.在浏览器设置中禁止JS。 2.打开网页源代码。 3.多刷新几次直到出现图片。 4.出现图片的时候查看源码,flag在里面。
ctf.show web 前台JS绕过
Sk1y的博客
05-06 880
firefox的开发者工具
谷歌浏览器SwitchyOmega插件下载安装
热门推荐
qq_32334103的博客
08-03 3万+
下载和安装谷歌插件:Proxy-SwitchyOmega
ctf:Firefox浏览器下安装一些常用的插件
viviliving的专栏
10-03 2953
一.配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: l 在Windows和Linux上安装VirtualBox l 创建一个Kali Linux虚拟机 l 更新和升级Kali Linux l 为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件) l 创建一个属于自己的靶机 l 配置网络使虚拟机正常通信 l 了解靶机上易受攻击的web应用程序 介绍 在第一章中,我们将介绍如何准备我们的Kali Linux安装,以便能够遵循书...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值