CTF之Bugku web5

最新推荐文章于 2021-05-28 22:09:52 发布
最新推荐文章于 2021-05-28 22:09:52 发布
阅读量312 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41607190/article/details/102081002
版权

原理:js代码被转换成了()[]!+这几种符号,目的是有的人不想让自己的js代码被认出,进而改成这几种符号,但是还能被浏览器识别

将此串代码放进浏览器的控制台回车就能得道flag

InventorMAO
关注
专栏目录
渗透漏洞 Bugku CTF-Web5
weixin_52514668的博客
04-29 386
Bugku CTF-Web5一.开启环境,点击链接二. 查看源代码——发现PHP弱类型三.构造出 payload,提交获得 flag 一.开启环境,点击链接 二. 查看源代码——发现PHP弱类型 ## 1. PHP 比较 2 个值是否相等可以用 “ == ” 或 “ === ”,“ == ” 会在比较时自动转换类型而不改变原来的值,因此这个符号经常出现漏洞。“ == ” 比较相等的一些常见值如下,当某些语句的判断条件是使用 “ == ”来判断时,就可以使用弱类型来替代。值得一提的是 “0e” 开头的哈希
BugKuCTFweb5;头等舱
s0il的博客
01-07 718
web5 题目如下:                                   思路:暴力破解?6个可打印字符? 查看源码,很多的框很是奇怪:                 找到自己浏览器的开发者工具,把很奇怪的地方的内容复制过来:     回车键:                  题目要求提交的flag是大写,:CTF{WHATFK} 这么做的原因: Chr...
bugkuCTF'之web5
xiaoguiyingxia的博客
08-01 181
web5 我们先看一下源代码 看到得是这个???? 我们用控制台试一下 我用的是谷歌 填写答案 想到这里提示大写 CTF{WHATFK} 就是他了!
bugku——web5
吃肉唐僧的博客
09-01 394
看到jspfuck 题目,心里一凉 之前做过17年的广东省第二届强网杯有一条web题要补jspfuck的........ 看到密密麻麻的[]与!头皮发麻,心里有阴影了 打开题目 果然密密麻麻的jspfuck,还有省略号怕是不完整的,要补全 试过加 ] ,或者把(!+.... 删了都报错 后来扔到火狐,居然是浏览器的问题..... 全部显示出来了 复制到控制台运行,出现flag ...
bugku web web5
weixin_43982276的博客
10-10 222
web5 这题总结下来主要是jother编码的应用 f12查看源码,发现一个乱七八糟的东西由括号感叹号(反正一堆符号组成) 然后将它丢到控制台console单击回车得解 题目要求要大写,于是在里层和外层均试验一边,即可 ...
Bugku CTF web21(Web
ChaoYue_miku的博客
03-04 606
0、打开网页,查看源代码 注释中的1p.html有些可疑 1、访问http://114.67.246.176:16508/1p.html,并查看源代码 view-source:http://114.67.246.176:16508/1p.html %3Cscript%3Ewindow.location.href%3D'http%3A%2F%2Fwww.bugku.com'%3B%3C%2Fscript%3E%20%0A%3C!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQ
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 1972
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 6579
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 3779
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
BugKu web5
weixin_30861459的博客
10-08 106
题目链接 输入任意字符串测试,出现“再好好看看“的文字,并没有啥特殊的。F12查看源码,发现一大堆东西,如下: ([][([]+[])[+[]]+([[]]+[][[]])[+!+[]+[+[]]]+([]+[])[!+[]+!+[]]+(![]+[])[+[]]+(![]+[])[!+[]+!+[]+!+[]]+(![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(![]+...
BUGKU web5
飞花的世界
02-03 290
地址 http://123.206.87.240:8002/web5/   查看源码 典型的JSFUCK 运行一下看看 ([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]...
BUGKU web5
HHHanks的博客
02-11 794
BUGKU web5 JSPFUCK???答案格式CTF{**} http://123.206.87.240:8002/web5/ 字母大写 0x00 打开网站 0x01 右键查看源代码 0x02 发现一大串JSfuck代码 直接把代码放到控制台+回车键(记得带上括号) 得到flag 将字母全换成大写即可0v0 ...
bugku-web-web5
a3uRa的一个窝
08-28 672
查看源代码,把那一堆,扔到控制台中,运行,得到flag
bugkuweb5
weixin_50774579的博客
05-23 135
$num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 前几个web太easy了,这个稍微有一点点变化 想要得到flag,num必须是1,但上一个判断语句!is_numeric($num),又要变量num不能是数字,这很矛盾! 下面看下解题思路: 主要是关注两个条件判断语句,怎么才能让这个变量不是数字,而又让条件成立呢 此处 == 为弱类型判断,num = 1a,与..
bugku平台 web5
ya945a的博客
05-29 232
http://123.206.87.240:8002/web5/ 点击网站进入页面 查看网页源代码 源代码里有很多[][(![]+[])[+[]]这种符号,也不知道是什么意思,放个图看下吧 符号太多了,只截了一小部分 我首先想到的是将flag输入框内(抱着侥幸心理,万一对了呢) 于是我就得到了上图提示,那我就再看看,再看只有符号啦,那么多符号肯定不简...
BugkuCTF-WEB-WEB5
Jaychouzzk
11-16 1020
打开题目后提示jspfuck 应该和jsfuck有关 jsfuck编码是由8个:< > + – . , [ ]字符组成。 js脚本,直接firefox--->F12--->consol 复制进去,输出 so查看源代码 得到一大堆[]()组合 把这些放进console中得到flag JSFUCK原理解析: https://blog.csdn.ne...
BugKu-web篇-web5
jiuyongpinyin的博客
05-28 88
web5 这道题对于我来说就开始有点难度了,我是参考了评论区的大神评论才找到的思路,首先看题目 这道题需要使用GET方式传入num参数,如果num不是数字,则返回所传参数,如果num传入数字1的话,返回flag,这里需要说一下php的一些特点 PHP一个数字和一个字符串进行比较或者进行运算时,PHP会把字符串转换成数字再进行比较。 PHP转换的规则的是: 若字符串以数字开头,则取开头数字作为转换结果,若无则输出0。 在PHP中,== 会先进行类型转换,再进行对比,而===会先比较类型,如果类型不同直接返回
BugKuCTF WEB web5
无限迭代中......
07-08 558
http://123.206.87.240:8002/web5/ TIPS:字母大写 题解: 审查元素 jother编码 jother编码:jother编码是在javascript语言中,利用少量特定字符构造精简的匿名函数对与字符串的编码方式。我理解是,javascript中使用少量特定字符对匿名函数进行编码加密。其中少量的特定字符包括:“+”、“!”、“(”、“)”、“[...
ctf.show_web5
最新发布
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值