遇到的ctf 套路 记录(长期)

最新推荐文章于 2024-06-07 11:58:48 发布
最新推荐文章于 2024-06-07 11:58:48 发布
阅读量989 收藏 3
点赞数
文章标签: ctf study
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42214273/article/details/82780813
版权

掌控安全封神台:

伪造本来用户登录

burp抓包 修改 Host和Referer参数 改成127.0.0.1即可

存储型xss

利用xss漏洞平台创建xss语句插入存在存储型xss漏洞的位置,在xss平台等待响应

上传木马

用cmd创建一句话木马 copy 1 .jpg/b + 1 .php/a 2 .jpg 查看上传允许文件类型 发现可以上传cer文件 可利用iis6.0漏洞 将木马后缀名改为.cer上传成功

提权

在菜刀中发现可以上传文件利用cmd和pr进行提权 在菜刀终端中利用cmd允许pr进行提权(在终端允许cmd,cmd中允许pr.exe"cmd指令")即可创建超级用户

查看windows下明文密码

在远程连接选项中选择共享 将mimikatz拖入终端  privilege::debug sekurlsa::logonpasswords 查看即可

Wh1te-小白
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】攻防世界 xff_referer 解题详析
等风来
05-21 4775
(简称 XFF)是一个 HTTP 请求头部字段,它用于表示 HTTP 请求的客户端 IP 地址,尤其是当请求通过一个中介代理或负载均衡器时。该字段的值通常是一个逗号分隔的 IP 地址列表,其中第一个 IP 地址是最初连接到中介代理或负载均衡器的客户端 IP 地址。因为在这种情况下,服务器只能看到请求的中介代理或负载均衡器的 IP 地址,而无法直接获取客户端的真实 IP 地址。是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。
ctf之xff_referer伪造
qq_53106085的博客
10-17 3719
xff:xff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。格式为:X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理2IP referer:referer 是http的拓展头部,作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定
攻防_漏洞_referer
redglare的博客
11-24 2041
引用:Referer 是 HTTP 请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含 Referer 。 比如我在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有: Referer=http://www.google.com 那么可以利用这个来防止盗链了,比如我只允许我自己的网站访问我自己的图片服务器,那我的域名是www.google.com, 那么
CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
最新发布
jayq1的博客
06-07 946
XSS
十五个Web狗的CTF出题套路
m0_59598029的博客
09-25 407
一、爆破,包括包括md5、爆破随机数、验证码识别等二、绕WAF,包括花式绕Mysql、绕文件读取关键词检测之类拦截三、花式玩弄几个PHP特性,包括弱类型,strpos和===,反序列化 destruct、\0截断、iconv截断、四、密码题,包括hash长度扩展、异或、移位加密各种变形、32位随机数过小五、各种找源码技巧,包括git、svn、xxx.php.swp、*www*.(zip|tar.gz|rar|7z)、xxx.php.bak、
ctf入门
赵花花08042的博客
06-03 245
ctf对我们的意义?? ctf类型 web网络安全 密码学:对算法的理解 程序逻辑分析,利用 杂:数据还原 逆向破解 编程 为什么打ctf===奥数 思维能力,快速学习能力,—》技术能力 可能两天内思维快速运转 可能会用到一个小众语言,一天内学习 如何入门–所需技能 重要元素:逆向,算法-------》数学 思想跳跃,推理 ctf比赛的分是很难的 赛题种类 web偏向发散思维,对底层能力要求不高 ida最重要 od工具 适合小白,最推荐《web应用安全权威指南 怎么学ctf
CUMTCTF2017入门赛-Aegis writeup
weixin_30399821的博客
04-11 781
Basic 签到题 10 根据题目,百度得知,使用本地hosts文件进行域名解析。(虽然用hosts翻过墙,但并不知道原来是这么一回事) WIN10 hosts目录:C:\Windows\System32\drivers\etc 添加如上字段即可。再刷新DNS即可。 encode 10 题目如图: 分析只可能是jsp混淆或者jjencode/aaen...
记录ctf解题过程及脚本.zip
10-25
记录ctf解题过程及脚本
CTF-RE第一次出题记录
10-21
CTF-RE第一次出题记录
ctf-攻防世界-web:xff_referer
一只菜鸟的博客
11-08 819
首先看提示:xff和referer是可以被伪造的,看来是要伪造请求头 打开环境,显示ip必须为123.123.123.123。既然已经提示了伪造xff,那就是验证xff了。 burp抓包,右键send to repeater,在请求头中添加X-Forwarded-For:123.123.123.123,放包。 发现提示必须来自https://www.google.com,那在请求头再添加Referer:https://www.google.com,则出现flag ...
图片隐写术
Binwalker的博客
08-30 4万+
CTF题目中图片隐写题属于杂项的一部分,题目较为简单。本文大致梳理了下CTF比赛套路
CTF misc之流量分析题套路总结
黑面狐
01-24 3万+
1.前言 昨天去I春秋刷了几题流量分析题,然后总结了一下流量分析题的做题方法。 2.刷题 2.1 可恶的黑客 步骤一、HTTP追踪流先了解进行什么操作 可以看到是传了webshell然后进行文件操作 套路1:一般是传webshell然后菜刀连接,参数进行base64位加密,先解密参数,了解进行了什么操作 一步步解密请求参数了解进行什么操作 这个是传webshell里
CTF隐写常见套路归纳
爱党人士
08-31 4315
杂项 1文件操作与隐写 2图片隐写术 3压缩文件处理 4流量取证技术 文件操作与隐写 文件类型识别 1.File命令(linux下) 使用:不知道后缀名,无法打开文件。 file 文件名 2.winhex 通过winhex去查看文件头类型,根据文件头类型判断出文件类型。 使用:Windows下通过文件头信息判断文件类型 常见文件头类型 JPG FFD8FFE1 PNG 89504E47 ZIP 5...
CTFweb中常用套路
The Road Of Sec
05-10 9531
web狗的多种套路!!!
CTF web总结
热门推荐
giantbranch的专栏
04-09 7万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
Bugku-CTF之你从哪里来
weixin_33966095的博客
05-07 219
Day 27 你从哪里来 http://123.206.87.240:9009/from.php 本题要点: http referer头的修改 查看源码什么也没有 抓个包看一下 注意哦~~~ are you from Google? 那就在Headers加一个referer字段 如图: Go一下~ ...
关于CTF的简介及赛题模式
格子小七的个人博客
04-27 1万+
关于CTF 1、CTF简介 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。 CTF竞赛模式具体分为以下三类:(解题模式(Jeopardy)、攻防模式(A...
ctf学习笔记
qq_27396789的博客
11-13 1641
生病赋闲在家,看点ctf
ctf流量分析出题套路
10-09
对于CTF流量分析出题,套路主要分为以下几种: 1. 分析协议字段: 在网络协议中,各个字段的含义和取值范围是固定的。通过对网络流量中协议字段的分析,可以得到很多有用的信息,如IP地址、端口、协议类型、数据包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值