file upload 攻防世界_菜鸡 CTF 之旅 Writeup (攻防世界)

最新推荐文章于 2024-06-03 17:24:52 发布
最新推荐文章于 2024-06-03 17:24:52 发布
阅读量467 收藏 1
点赞数
文章标签: file upload 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39851261/article/details/114169689
版权
前言我是个菜鸡,菜鸡就要先走新手练习区。这次 CTF Writeup 的指定训练站点为 攻防世界新手练习区Web 区view_source题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。解答步骤:直接在地址栏前加上 view-source: 拿到 HTML 注释中的cyberpeace{f3baff125*********f3cf5a7e6}robots解答步骤...
摘要由CSDN通过智能技术生成

前言

我是个菜鸡,菜鸡就要先走新手练习区。

这次 CTF Writeup 的指定训练站点为 攻防世界

新手练习区

Web 区

view_source

题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

解答步骤:直接在地址栏前加上 view-source: 拿到 HTML 注释中的

cyberpeace{f3baff125*********f3cf5a7e6}

robots

解答步骤:地址栏后加上 /robots.txt ,得到

User-agent: *

Disallow:

Disallow: f1ag_1s_h3re.php

访问 /f1ag_1s_h3re.php 得到 flag

backup

解答步骤:访问 index.php.bak,记事本打开得 flag

cookie

解答步骤:查看 cookie 看到要求访问 cookie.php,要求查看http response,看response header得到flag

MISC 区

this is flag

题目描述:Most flags are in the form flag{xxx}, for example:flag{th1s_!s_a_d4m0_4la9}

解答步骤:直接填入 flag{th1s_!s_a_d4m0_4la9}

pdf

题目描述:菜猫给了菜狗一张图,说图下面什么都没有

附件:一份 PDF

解答步骤:我一开始还想用 Word 转换 PDF 再尝试的,结果发现 Word 转换后字没了,然后试了一下 Ctrl+A,发现获取到文字,Ctrl+C 拿到 flag{security_through_obscurity}

最低0.47元/天 解锁文章
weixin_39851261
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF之路:Flask_FileUpload文件上传漏洞利用、关于os.system()与更强大的os.popen()
zw05011的博客
01-08 3765
1.题目 BP上分析数据包,发现有提示: Give me the file, and I will return the Running results by python to you! 意思是:上传一个文件,系统将用python运行它,并返回结果 经验告诉我们,上传的文件里应该含有python可执行代码。 知识点 os.system()函数实现在程序中执行命令行命令 解题分析 上传文件发现似乎只能上传图片 这也没关系,可以把文件重命名为.png/jpg 打开一个file,写入代码 import os
CTF攻防世界 MISC 新手练习区 003-012详解
春风拂槛露华浓。的博客
06-20 2164
CTF攻防世界 MISC 新手练习区 003-012详解
file upload 攻防世界_攻防世界-upload1
weixin_39710991的博客
12-30 141
先打开实验环境实验准备:Firefox浏览器+Burp+蚁剑Burp:用于代理浏览器处理的http信息蚁剑:用于一句话木马的文件连接1.1这里选择后缀名为php的文件,发现浏览器很快就做出反应了,ctrl+u看下网页源代码,(可能是js前端的过滤,因为反应太快了);果然是前端js过滤了,只允许后缀为jpg和png的文件上传;1.2解决办法:先准备好含有一句话木马的php文件,密码为zxc(zxc可...
CTF-Web】文件上传漏洞学习笔记(ctfshow题目)
最新发布
jayq1的博客
06-03 1923
文件上传漏洞学习笔记,ctfshow题目为依托
攻防世界-MISC-练习区-12(功夫再高也怕菜刀)
qq_61993117的博客
11-30 1285
题目描述:菜狗决定用菜刀和菜鸡决一死战 这是攻防世界里面训练区的一道流量分析题,用wireshark 打开流量包 然后一级搜索http,二级用分组字节流搜索flag(按CTRL+F),并找到no.1367 在Line-basedtextdata:text/html(2lines)里面导出分节字节流后缀名要用.zip。打开导出的文件发现它需要密码 这个时候我们回到wireshark里面,然后用追踪...
file upload 攻防世界_攻防世界 upload
weixin_36443680的博客
02-23 242
攻防世界上的一道web题为什么我觉得完全不像萌新入坑的题呢 退坑还差不多吧一看名字以及页面想当然的就是文件上传了呗 结果各种尝试,也没什么办法,但是每次我们上传后会有文件名的回显 但是正常的文件上传也都有这种名字的回显,可能不太寻常的就是这个没有路径吧最后看的writeup 说是sql注入????不明白怎么能看出来是注入的图片文件名存在注入,并且过滤了select from 用双写就能绕过p...
file upload 攻防世界_Xctf攻防世界Web进阶题攻略
weixin_42510835的博客
12-30 236
玩法介绍攻防世界答题模块是一款提升个人信息安全水平的益智趣味答题,用户可任意选择题目类型进行答题。第一题:Burp拦截后对id进行爆破。-----------------------------------------------------------------------------第二题:Burp拦截后对search参数进行sql注入。...
移动web开发之菜鸡问卷.rar
12-02
这个项目的代码 大致的想法就是前端把数据提交给后台,然后利用框架直接封装成一个对象类 再然后就把这个对象类每一条处理一下存在另一个对象类中(这个对象是用来放调查问卷的结果)偷懒直接把这个对象放在了...
网站入侵与脚本攻防修炼(上) (1)
09-05
攻防
仿真环境下DHCP攻防实验的设计与实现.pdf
04-25
然而,由于网络攻防技术本身所具有的特殊性和破坏 性,许多高校受实验条件限制难以完成该实验内容。本文构建了将VMware版Kali Linux桥接到eNSP仿真网络的攻防实验 仿真环境,设计了DHCP耗尽攻击、欺骗攻击和DHCP安全...
jna_jni之java调用C
01-20
相比之下,JNA是一种更简单的解决方案,由Mike Spille创建并开源。JNA的核心思想是通过映射机制,将C/C++函数的原型映射到Java的方法,大大减少了编码工作。开发者只需在Java代码中定义一个接口,该接口声明了要调用...
世界五百强面试经典教材
03-07
世界五百强面试经典教材》是一本专门为求职者准备的面试指南,主要聚焦于数据结构和算法领域。这本书通过收集并解析一系列的经典面试题目,帮助读者提升在这两个关键领域的理解和应用能力,从而在竞争激烈的面试中...
PHP的常见函数(持续补充)
m0_73303597的博客
11-15 491
自用
【web-ctfctf-pikachu-fileupload
一个努力生活的人的博客
08-21 1103
ctf-pikachu-fileupload
php-CTF-文件上传代码
chinese_cabbage0的博客
02-01 375
这个HTML和PHP混合的代码片段,实现了一个简单的文件上传功能
WEB漏洞攻防 - 文件上传漏洞 - CTF比赛类应用场景 - [RoarCTF 2024]Simple Upload
qq_58071132的博客
04-07 353
🍅 硬核资料:关注即可领取PPT模板、简历模板、行业经典书籍PDF。🍅 技术互助:技术群大佬指点迷津,你的问题可能不是问题,求资源在群里喊一声。🍅 面试题库:由技术群里的小伙伴们共同投稿,热乎的大厂面试真题,持续更新中。🍅 知识体系:含编程语言、算法、大数据生态圈组件(Mysql、Hive、Spark、Flink)、数据仓库、Python、前端等等。一个人可以走的很快,但一群人才能走的更远。
CTF学习3(upload
2301_79688134的博客
03-03 1457
无法上传以php为结尾的文件查看前端js代码,发现进行了前端校验,修改判断文件类型的onsubmit 改成return true绕过。
ctf攻防世界练习题writeup(第一部分)
Ohh24的博客
09-01 1030
view source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 用火狐浏览器打开对应网站 发现无法找到对应的flag,此时可以按F12寻找相应的flag 同时,根据题目的提示,也可以搜索view-source:http://相应的网站/进行访问,寻找flag get_post 先用火狐打开相应的网站搜索 根据提示用get方式提交名为a,值为1的变量,...
ctf 攻防世界练习题writeup(第二部分)
Ohh24的博客
09-07 838
ctf 攻防世界web2cookie新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 cookie 由题可知本题考查cookie,那么什么是cookie? 新的改变 我们对Markdown编辑器进行了一些功能拓展与
菜鸡mac地址扫描器
12-30
菜鸡MAC地址扫描器是一种针对局域网中的网络设备进行扫描的工具。它的主要功能是识别和展示网络中各个设备的MAC地址。 菜鸡MAC地址扫描器相对于其他高级的网络工具来说,功能相对简单,易于使用。它可以通过扫描局域网中的所有IP地址,获取与这些地址关联的设备的MAC地址。通过这个方式,用户可以清楚地了解局域网内部的设备布局和连接情况。 菜鸡MAC地址扫描器的界面直观且易于操作,用户只需输入扫描起始IP和结束IP,点击启动扫描按钮,软件会自动在指定的IP段内进行扫描,同时显示每个IP地址对应的设备MAC地址、IP地址、设备名称等信息。扫描结果会以列表的形式展示,用户可以根据需求进行排序和筛选。 除了显示MAC地址,菜鸡MAC地址扫描器还可以提供一些附加功能,比如从MAC地址推测设备类型、厂商信息等。这些信息对于网络管理和安全检查也有一定的参考意义。 尽管菜鸡MAC地址扫描器功能相对简单,但对于一些小型局域网的设备管理来说,已经足够满足基本需求。同时,使用菜鸡MAC地址扫描器可以避免使用复杂的高级工具,更加方便快捷地获取所需的MAC地址信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值