BugkuCTF-Web 前八题

最新推荐文章于 2022-10-12 17:41:00 发布
最新推荐文章于 2022-10-12 17:41:00 发布
阅读量524 收藏 1
点赞数
文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41782574/article/details/109957230
版权

  1. web2
    打开题目发现全是越来越快的滑稽笑脸,并没有很明显的提示,所以打开F12看源码,用快捷键ctrl+F来搜索Flag,在源码中轻松找到Flag:
    从源码找Flag

  2. 计算器
    打开题目发现要求求两个二位数之和且和必然为三位数,但结果输出框只能输出一位数字,这意味html源码中input的maxlen限制成了一位,将一位改为三位再输出正确答案即可获得Flag。
    在这里插入图片描述

  3. web基础$_GET
    考察php语言的基础用法,get在url上面获得数据,较为不安全,这里的php代码要求我们输入what=flag的数据即可根据php代码输出Flag。
    在这里插入图片描述

  4. web基础$_POST
    根据php源码,可以看出也是需要上传what=flag的数据,但post和get上传的方式不一样,GET是直接在url加上?+上传的数据。而post这里我使用的python的request模块,post传url和data即可得到Flag。
    在这里插入图片描述

  5. 矛盾
    浏览php代码可知需要上传不为数字但为数字1的数据,才能得到Flag,似乎有些矛盾,但通过查找php语言的特点,发现在num+str和num进行等值比较时,num+str会被强制转换为int类型,所以在这里我们只要在1后加上任意字符串即可拿到flag。
    在这里插入图片描述

  6. web3

这里会不断弹窗,在浏览器设置禁止弹窗后,观察源码,发现弹窗内容最底下有串编码,百度查得是unicode编码,再转换即可得到flag。
在这里插入图片描述

  1. 域名解析
    打开c/windows/system32/drivers/etc用管理员权限打开hosts,再根据hosts的example,将ip地址对应域名即可解析成功得到Flag。
    在这里插入图片描述

  2. 你必须让他停下来
    用burp suit抓包,找到Flag即可。

翡喃
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugkuctf web部分(前8题)解题报告
KEN781215的博客
01-30 227
写点东西记录一下,方便以后查看。 http://ctf.bugku.com/challenges web2: 签到题,花里胡哨的果断去看源码。。。。。 计算器: 发现只能输入一个数字,肯定是对提交的内容做了长度限制,打开开发者工具把长度改一下(如果好运的话如图就直接出结果) web基础$_GET: 发现是很简单的代...
Bugku CTF web8(Web
ChaoYue_miku的博客
02-19 614
0、打开网页,查看PHP源代码 <?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(__FILE__); ?> 发现 flag存在于名为flag.php的文件中,且回显与名为hello的变量有关 尝试向hello变量传递参数(函数) 这里使用file函数,通过eval,并用var_dump()函数打印flag PHP file
bugku ctf web
w_dnmd_____的博客
04-22 342
1 web2 开始是这样的 似曾相识的一幕,buuctf上的web第一题也是滑稽 f12走一波 简单 2 计算器 直接算嘛,但是,好像只能输入一位数,老规矩f12 你会发现,长度被限制了,把maxlength改成2即可 get flag 简单 然后把,本人建议用火狐浏览器,我写write up 图方便而已 3 web基础 get 很简单一代码审计 直接what=flag即可 搞定,写...
bugku web8
wssmiss的博客
07-18 258
题目 分析 extract() 函数从数组中将变量导入到当前的符号表,该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。 该函数返回成功设置的变量数目 trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符。 php中的===与== 的区别: $str = “0d52”; If (0==$str) {...
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
在"CTF-AWD-WEB"中,重点在于Web安全领域,涵盖了各种Web应用漏洞和防护技巧。 本资源"CTF-AWD-WEB"是一个包含了多个AWD模式下Web试题的仓库,这些试题可能来源于不同的CTF线下赛事。通过这些试题,学习者可以深入...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
bugku Web8
rommel的博客
08-28 5320
extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "This is flag:" ." $flag"; } else { echo "sorry!"; } } ?> 根据题目的提示我们猜测目录下有txt文件,于是我们试出了http:
bugku——web8
吃肉唐僧的博客
09-01 501
打开题目,看到extract函数 第一时间想到覆盖变量漏洞,构造?ac=&f= 但是发现有empty判空,无法绕过 后来发现题目有提示txt,访问flag.txt 结合代码的file_get_contents就很好判断了 构造poc如下,拿到flag ...
Bugku web——web8
qq_40481505的博客
09-24 1127
打开连接,获得代码: <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!&...
BugkuCTF-web(web2)
分享与记录
11-17 180
1.web2 点进去发现,听说聪明人都能把这题做出来。 那就点进去看看呗。 滑稽…?那开始肯定是基本的F12了。 不愧是我
BugKu CTF web 滑稽 解题思路
m0_73734159的博客
10-12 763
BugKu CTF web 滑稽 解题思路
bugku web1-8
xingkong23310的博客
11-20 276
1.web2 第一道题演示过了,查看网页源代码之后发现flag就藏在语句之中,nice 2. 计算器 通过源码发现这个网页输入结果的选项设置了maxlength=1,把它调大就可以输入正确结果返回flag 3. $GET GET一般用于获取/查询资源信息,GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中),以?分割URL和传输数据,参数之间以&相连。通过GET提交数据,用户名和密码将明文出现在URL上,所以可以直接在url上操作获取。 代码意为当what参数的内容=flag
web——web8(110)——Bugku
Zichel77的博客
08-11 250
0×00 靶场链接 http://123.206.87.240:8002/web8/ 0×01 题目描述 0×02 解题过程 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!&..
CTF入门_搞笑篇
m0_46203901的博客
09-05 646
各种简单解码,但是不含有Base64......
bugku web
沐目的博客
05-06 940
bugku web8 可算是自己写出来一道代码审计的题,虽然比较简单。 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "&...
Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下
网安小趴菜
09-02 629
Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下 writeup
ctf web 思维导图
最新发布
12-18
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web领域涉及到了网页应用程序的漏洞挖掘和利用。下面是CTF Web思维导图的简要解释: CTF Web思维导图主要分为三个方面:Web漏洞类型、漏洞利用技术和解题方法。 Web漏洞类型包括:注入漏洞(如SQL注入、命令注入)、跨站脚本漏洞(XSS)、跨站请求伪造漏洞(CSRF)、文件上传漏洞、路径遍历漏洞等。这些漏洞常见于Web应用程序的开发不规范或配置不当,攻击者可以通过利用这些漏洞来获取无授权的访问或者控制目标系统。 漏洞利用技术主要包括:代码注入(如SQL注入、远程命令执行)、会话劫持与干扰(如会话劫持、会话劫持预防、会话干扰攻击)、文件包含与遍历、信息泄露利用(如敏感信息泄露、漏洞利用)、中间人攻击、点击劫持等。这些技术是攻击者在发现漏洞后利用漏洞实施攻击的具体方法。 解题方法主要包括:寻目标站点、分析目标站点、漏洞检测与利用、数据包截获与分析、Webshell的利用与部署、绕过访问控制(如绕过IP限制、用户认证绕过)、漏洞修复与防御等。这些方法是CTF比赛中参赛者通过解题来获取Flag的具体步骤。 综上所述,CTF Web思维导图涵盖了Web漏洞类型、漏洞利用技术和解题方法。掌握这些知识和技能能够帮助参赛者更好地分析和利用Web漏洞,从而在CTF比赛中取得优异的成绩。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值