ctf实战 掌控安全的靶场 第五关通关记录

最新推荐文章于 2024-02-02 16:29:10 发布
最新推荐文章于 2024-02-02 16:29:10 发布
阅读量1.1k 收藏 1
点赞数
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42214273/article/details/82861773
版权

题目

cookie上一关获得了 就直接在开发者工具里自己修改cookie即可,我用的火狐直接修改就是了(f12)

 将名称改为上一关获得的cookie名,值改为上一关得到的cookie值 修改好了点击“准备好了即可”

查看可以上传文件类型

发现可以上传cer文件可以利用iis6.0漏洞进行上传asp木马后缀名改为.cer  用菜刀上传即可

在产品管理中可以修改 文件图片

上传成功

最低0.47元/天 解锁文章
Wh1te-小白
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf实战 掌控安全靶场 第一通关记录
wh1te 小白的博客
09-17 5827
第一 进入传送门  发现是一个猫舍网站  点击查看新闻   进入猫舍界面内 网址为http://120.203.13.75:6815/?id=1  疑似可注入  尝试 and1=1回显正常 尝试 and1=2回显失败 存在sql注入  可以选择手工注入  也可以直接用工具   这里我用的是sqlmap(一个很强大的工具) sqlmap具体使用方法自己百度 贴一个比较好的...
探索CTF学习之路:靶场练习与试题讲解
weixin_43822401的博客
07-02 344
CTF学习之路是一条充满挑战和机遇的道路。通过靶场练习和试题讲解,学习者可以逐步提升自己的网络安全技能。同时,鼓励学习者收集和分享优质的CTF题目和环境,共同促进CTF社区的发展。
ctf实战 掌控安全靶场 第四通关记录
wh1te 小白的博客
09-20 1709
掌控安全封神台第四 根据提示为存储型xss flag在cookie中 xss平台其实网上就有 可以直接用 xsspt.com  xss平台大致如下 点击创建项目输入项目名字 选择模块是要注意选择 默认模块和xss.js 生成代码  将xss语句插入到留言板中 即可在xss平台中接收到平台模拟的管理员访问记录  得到flag 通关...
ctf实战 掌控安全靶场 第三通关记录
wh1te 小白的博客
09-20 3431
掌控安全封神台第三  根据题目可能要用burp进行抓包,点击传送门进入题目主页 之前题目说的扫描到新的后台地址admin123 在网址后加入admin123 进入新的后台管理页面 根据第二得到的用户和密码进行登录  进入后得到这样一个页面 抓包结果如下 根据代码分析只需要修改host和referer的ip地址 修改以后结果还是进不去 分析一下问题  打开F...
ctf实战 掌控安全靶场 第六通关记录
wh1te 小白的博客
09-27 1108
题目 上一已经上传图片马  在菜刀中查看发现c盘有flag.txt 文件但是没有权限访问 需要进行提权  发现可以上传文件 可以选择使用 cmd+pr 提权方式 上传cmd.exe 和pr.exe 上传成功 在菜刀的虚拟终端打开cmd.exe 用whoami指令查看当前权限 发现权限不足 需要提权 使用pr提权  使用pr添加新用户  将新用户添加至管理组 ...
ctf实战 掌控安全靶场 第七通关记录
wh1te 小白的博客
09-27 951
 题目  远程连接设置可以上传本机文件 在本地设备与资源中选择详细信息 将要上传的工具的驱动器勾选上,可以选择u盘   把mimikatz上传至虚拟机  privilege::debug 提升权限   sekurlsa::logonpasswords 抓取密码   得到最后的flag   通关    ...
ctf实战 封神台的靶场 第四通关记录
weixin_30437847的博客
05-28 1179
发现留言板功能,顺手试下反射型xss代码,结果成功的弹窗了 网上的xss平台:http://xsspt.com,需要自己去注册和登录,反正账号密码知道就行了,邮箱反正不验证不建议写真实的。 我们先建立项目,名称什么乱选都行,就是选择模块的时候记得选取这两个 然后你可以看到一叠代码,这个就是两个模块中的XSS Payload。把生成的存储型xss链接放入留言板提交成功后到xss平台等查...
ctf实战 封神台的靶场 第三通关记录
weixin_30498807的博客
05-28 2032
封神台第三 根据题目可能要用burp进行抓包,点击传送门进入题目主页 之前题目说的扫描到新的后台地址admin123 在网址后加入admin123 进入新的后台管理页面 根据第二得到的用户和密码进行登录 进入后得到这样一个页面 抓包结果如 根据代码分析只需要修改host和referer的ip地址 修改以后结果还是进不去 分析一下问题 打开Firef...
掌控安全靶场第二章:遇到阻难!绕过WAF过滤!
k1k5cn的博客
11-10 2511
最近在学习CTF,前不久发现一个还不错的靶场 封神台 - 掌控安全在线演练靶场 二话不说,开干吧 第二章:遇到阻难!绕过WAF过滤! 一、测试是否有注入点 附上链接 https://hack.zkaq.cn/battle/target?id=31ac789a52edf9bb 标题上写了是【配套课时:SQL注入攻击原理 实战演练】SQL注入, 随便点击一个新闻。在id=171后面加一个引号’,测试一下是否有SQL注入。 有弹框了,提示过滤了很多键字。下一步考虑如何绕过这些键字。 二、绕过WAF键字过滤
【粉丝福利社】CTF实战:从入门到提升(文末送书-完结)
热门推荐
时光隧道
02-02 6万+
没有网络安全就没有国家安全,网络安全不仅系到国家整体信息安全,也系到民生安全。近年来,随着全国各行各业信息化的发展,网络与信息安全得到了进一步重视,越来越多的网络安全竞赛也开始进入人们的视野。网络安全竞赛对于主办方来说,在某种程度上能完成对网络安全人才的选拔,对于参赛者来说,也是一个很好的交流学习平台,更是很多人接触网络安全、学习网络安全、深入了解网络安全的重要渠道。CTF是Capture The Flag(夺旗赛)的缩写,它是一种网络安全竞赛。
计算机网络安全技术:在线CTF靶场.pdf
05-12
计算机网络安全技术,特别是在线CTF(Capture The Flag)靶场,是网络安全专业人员提升技能和实战经验的重要途径。CTF源自1996年的DEFCON全球黑客大会,它摒弃了早期黑客间实际攻击的竞技方式,转为更加安全、有序的...
04.实验吧CTF实战之WEB渗透和隐写术解密1
08-03
【网络安全自学篇】WEB渗透与隐写术解密——实验吧CTF实战解析 在网络安全领域,WEB渗透是指通过寻找并利用网站应用的漏洞来获取未经授权的访问或控制权限。而隐写术则是指在图像、音频或其他媒体中隐藏信息的技术...
CTF 实战选择题
02-28
CTF 实战 选择题,带答案 编辑版
2021CTF工业信息安全技能大赛(杭州站)
08-02
CTF,全称Capture The Flag,是信息安全领域的常见比赛形式,通常包含解谜、漏洞挖掘、逆向工程等多种技术挑战,旨在提升参赛者的信息安全技能和实战能力。在这个特定的比赛中,重点可能集中在工业控制系统、物联网...
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
04-22
"河南省网络安全高校战队联盟CTF训练营-web文件上传第一期" 这个标题揭示了本次训练的主题,主要聚焦于网络安全领域中的一项重要技能——Web文件上传漏洞的利用与防御。CTF(Capture The Flag)是网络安全竞赛的一种...
小清新风工作总结汇报PPT模板.pptx
最新发布
08-04
【作品名称】:述职报告,工作计划,工作总结,计划书,商务计划,转正报告 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
文艺清新述职报告PPT模板.pptx
08-04
【作品名称】:述职报告,工作计划,工作总结,计划书,商务计划,转正报告 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
数字信号处理第四版基于计算机的方法学习资料
08-04
该资源是本人在学习数字信号处理课程过程中对于PPT做的笔记,整理的一些习题。不仅适合平时课程的学习,而且适合考考研云南大学的同学进行全面复习。笔记全面,非常适合学习的时候观看。希望这份学习资料能够帮助到大家。
CTF挑战:Web安全漏洞——任意文件上传与下载实战
CTF(Capture The Flag)竞赛中,特别是在Web安全领域,"任意文件上传+任意文件下载"是一个常见的挑战,涉及到黑客技术的运用和Web应用程序的安全漏洞利用。这类题目通常要求参赛者通过精心构造的HTTP请求,上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值