bugku web ctf 练习

最新推荐文章于 2024-05-03 21:15:47 发布
最新推荐文章于 2024-05-03 21:15:47 发布
阅读量790 收藏 2
点赞数 1
分类专栏: ctf之家
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42045038/article/details/82055878
版权

1.web2


看到这个滑稽的笑脸直接F12查看一下源码,

就发现了flag

<!--flag KEY{Web-2-bugKssNNikls9100}-->


2.计算器

嗯,直接输入答案,好像不行,只能输入一位,查看源码,看能不能改输入的长度,

只需将maxlength的值改为答案的位数就可以。

flag{CTF-bugku-0032}

 

3.web基础$_GET

$what=$_GET['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';

直接构造:

http://120.24.86.145:8002/get/?what=flag
flagflag{bugku_get_su8kej2en}



4.web基础$_POST

直接用火狐的hackBar,直接构造。

flagflag{bugku_get_ssseint67se}


5.矛盾

$num=$_GET['num'];
if(!is_numeric($num))
{
echo $num;
if($num==1)
echo 'flag{**********}';
}


主要是考了is_numeric($num)函数用于检测变量是否为数字或者字符串。如果是指定的变量数字和数字字符串则返回true,否则返回false。
所以说传入一个参数 num,is_numeric 会判断参数是否为数字, 如果不是数字就会进入下面的if循环,但是到了循环里面又要判断但是下面又需要判断num==1, 这里看似有矛盾, 实际上PHP是个若类型的语言,当传入num=1a的时候,对比是否为数字时,他是字符串,但是在做if比较时候由于是字符串 1a 会被转换为数字 1 。

6.web3

进到题目中没有什么发现,就先看看源码,在最后一行发现了

&#75;&#69;&#89;&#123;&#74;&#50;&#115;&#97;&#52;&#50;&#97;&#104;&#74;&#75;&#45;&#72;&#83;&#49;&#49;&#73;&#73;&#73;&#125;


嗯,进行Unicode的解码

KEY{J2sa42ahJK-HS11III}

7.域名解析

听说把 flag.bugku.com 解析到120.24.86.145 就能拿到flag
在host文件里进行修改

访问flag.bugku.com 就可也出现flag。

KEY{DSAHDSJ82HDS2211}


8.你必须让他停下

打开网站后网页一直都在跳动,原因在于前端这串js,

<script language="JavaScript">
function myrefresh(){
window.location.reload();
}
setTimeout('myrefresh()',500); 
</script>


想着flag可能就在网页中,用bp进行一帧一帧的看,然后无限重放,即可获得flag。

flag{dummy_game_1s_s0_popular}

 

天跃
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
bugku - Web
UP's blog
09-03 1943
刚刚入门CTF,如有错误,望大佬指教
ctf php 流量分析题,GKCTF EZWEB的分析题解和思考
weixin_35674742的博客
03-09 450
GKCTF EZ三剑客-EzWeb看到这个题前端和我自己出的一个题实在是很像,同样是输入一个url,先看题目长啥样吧。嗯,啥也没有,输入url基本没反应,F12给的提示是?secret,输入后发现:这就很敏感了,相当于一个ifconfig的命令,这个时候应该是SSRF打内网,看内网的存活主机有多少,直接burp抓个包爆破一下有新发现:这个IP的其他端口有问题?不多说,nmap一把梭看看有哪些常见=...
2024年网络安全最新CTF BugKu平台———(Web篇②)_buktu攻防平台
最新发布
2401_84264244的博客
05-03 811
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。大概的意思就是v1不等于v2,v1和v2的md5相等,strcmp是比较字符串(区分大小写),v3不等于flag。(考的MD5碰撞,网上有很多随便找一个即可。最后就是项目实战,这里带来的是。
Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下
网安小趴菜
09-02 620
Bugku CTF Web 滑稽 计算器 GET POST 矛盾 alert 你必须让他停下 writeup
BUGKU-WEB 文件包含
天泽岁月
02-22 1303
BUGKU-WEB 文件包含,PHP伪协议
Bugku_web_从零开始(一)
weixin_43727482的博客
01-13 278
Bugku_web_从零开始 从零开始; 000 web2:听说聪明的人都能找到答案 右键检查元素得到flag; 001 计算器 输入计算结果的时候发现只能输入一个数字,右键审查元素,改一下input标签长度;输入正确结果得到flag; 002 web基础$_GET 审查代码可知使用get方法传参使得 $what=='flag';get方法可直接在url上构造“http://123.206...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-8.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
BugKu CTF web 滑稽 解题思路
m0_73734159的博客
10-12 750
BugKu CTF web 滑稽 解题思路
Error: L6200E: Symbol keyflag multiply defined (by main.o and key.o).
weixin_42212753的博客
06-21 2811
Error: L6200E: Symbol keyflag multiply defined (by main.o and key.o). 以上错误的主要原因很简单 在key.h文件中定义了以下两个变量 uint8_t keyflag=0; KEY_STATE keystate=KEY_DETECTED_STATE; 并对这两个变量进行了初始化 这是不允许的, 应该在key.c中定义这两个变量并进行初始化,并在key.h中 extern uint8_t keyflag; extern KEY_STATE k
CTFBugku 矛盾
weixin_41607190的博客
10-04 265
原理:构造一个playload,使上传的num既不是数字,值也等于一 num=1e0.1
BugkuCTF web
weixin_45689999的博客
01-19 755
1.web2 先打开F12看看,很容易发现在注释里面有flag。 把flag后面内容输入即可。 2.计算器 发现是一道及其简单的计算题(要是手上没有计算器有些题比较难算的话,可以点击题目换一道蛤,但是怎么换答案都是两位数以上的),输入答案,发现只能输入一位数,打开F12 发现他可输入字符长度为1,双击修改成10等位数,再输入正确答案,flag就出现了。 3.web基础-GET变量参考以下网址了解_...
BUGKU CTF WEB (10-15题)
半夜好饿的博客
10-25 3001
11、web5 点开网址后: 随便输入提交看看: 并没有出现什么,F12查看代码,会发现一个奇怪的东西: 百度以后发现是某种编码,将其丢到控制台出直接解码,得到flag。 flag:ctf{whatfk} 12、头等舱 点开网址后: 会发现如文字所述,什么也没有,查看代码,emmm,也很干净,什么都莫得orz。 用抓包试试看吧,或许能有什么东西。 抓包后发现了 flag。查看了其...
WEB入门 bugku web5
qq_42728977的博客
12-18 307
$num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } "=="绕过 php中有两种比较符号 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类型比较 == 对于所有0e开头的都为相等 is_numeric() 判断变量是否为数字或数字字符串 is_numeric() 函数会判断如果是数字和数字字符串则返回 TRUE,否则返回 FALSE,且
Bugku CTF-Web篇writeup 3-11
anlr2020的博客
07-14 1236
Flask_FileUpload 由题目名得知的信息,显然是个文件上传的题目,flask:一种python的web框架 首先Ctrl+U查看页面源代码,一般能看到题目提示 支持jpg,png格式的文件上传,绿色的英文提示意思是上传文件,它会解析python代码并返回运行结果,所以上传php木马的并不能成功 在txt文档中写一段py程序来调用系统命令 导入 os模块 pyhon的os模块包含了普通的系统操作功能,这里os.system('')执行了ls命令 因为上传有格式的限制,所以要重命
setTimeout方法使用时需注意:
qq_25987491的博客
05-11 2160
[html] view plain copy//以下两种方式都行:  setTimeout(function () { test(); }, 2000);  //或者  setTimeout('test()',2000);  function test(){   alert("aaaa");  }  //以下是错误示例  setTimeout(test(),2000);  //会马上执行,没有延迟...
9-杂项题目练习(六)
10-05
本次杂项题目练习(六)包含一系列针对IT安全和编程技能的挑战,涉及网络安全、漏洞利用、密码学、数据恢复以及图像处理等多个方面。以下是各题目的详细知识点解析: 1. **远控木马**:在应急响应场景中,分析远控...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值