ctf入门题库_【CTF】10个经典的CTF-web题目学习

最新推荐文章于 2024-07-19 16:15:00 发布
最新推荐文章于 2024-07-19 16:15:00 发布
阅读量6k 收藏 3
点赞数 1
文章标签: ctf入门题库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42635849/article/details/112810002
版权

对CTF不是很感兴趣,但是从中一些php的安全知识还是不错的,从这个项目中找了10个案例,自己本地搭建环境尝试分析,这篇文章记录一下

extract

extract函数是把数组里面的键、值映射为变量、值。

该题条件是$shiyan==$content

$shiyan是可控的,而$content为读取一个文件名为$flag的文件内容。

尝试网上的payload:?shiyan=&flag=1

这个思路是覆盖$flag为1,file_get_contents读取1这个不存在的文件内容为空,然后满足条件,读出了flag:

我想到一个加强版:

我在条件里面加了一个 $shiyan=='mkdd',这个时候上面的方法就不可用了,因为问题在于怎么让file_get_contents读取一个文件,内容为mkdd?这时候需要用到php://input伪协议,直接把post的内容传给$content即可

strcmp

strcmp是对两个变量进行比较,完全相同才返回0,题目的意思就是你传入一个和flag完全相同的值,我就告诉你flag...这不扯淡吗

那肯定还有某些情况下也能返回0?是的,strcmp传入数组的话,会返回null , 而null==0 是true

绕过过滤的空白字符

半生瓜Cc
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf入门题库_「ctf比赛」web安全CTF比赛习题(初级) - seo实验室
weixin_40001967的博客
12-22 2563
ctf比赛一、Robot访问URL,可以看到一张骚气十足的图片,然后就什么都没了。。。没了。。。不可能啊,一张骚图片就想欺骗小编,想的太美(长得丑了)题目说明写的是robot,想想多半是有猫腻,想来也就是关于”robots.txt”了,上百度百科。好的,直接在URL后面加上robots.txt访问,哟呵,果然是成功了,佩服小编的聪明才智了。访问查看到的目录,很容易就发现“admin/3hell.p...
ctf入门题库_实验吧CTF题库-编程(部分)
weixin_39989190的博客
12-22 708
百米3秒提交答案,数字是随机变化的利用Python脚本解题# -*- coding:utf-8 -*-__author__ = "MuT6 Sch01aR"import requestsfrom bs4 import BeautifulSoupimport sys,iourl = "http://ctf5.shiyanbar.com/jia/index.php"url_check = "http:...
CTF-入门练习题
10-30
题目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇就够了!
最新发布
2401_82672634的博客
07-19 684
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。MISC(安全杂项)
CTF 题目练习题库
热门推荐
syh_486_007的专栏
06-01 3万+
入门----从基础题目出发(推荐资源): http://ctf.idf.cn !!!首推 idf实验室:题目非常基础,只1个点 www.ichunqiu.com 有线下决赛题目复现 http://oj.xctf.org.cn/xctf 题库网站,历年题,练习场,比较难 www.wechall.net/challs !!!!!!非常入门的国外ctf题库,很多国内都是从这里刷题成长起来的
CTF web安全经典例题讲解
10-22
该内容为CTF赛题web安全经理例题讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种题型讲解,图文结合,适合新手学习
CTF练习题
weixin_62707591的博客
05-08 1202
Rabbit 序列密码是一种基于混沌理论的加密算法,它利用了混沌系统的随机性和不可预测性来保护数据的安全性。Rabbit 序列密码的安全性主要来自于混沌系统的随机性和不可预测性,使得攻击者无法通过破解算法或暴力破解的方式来获取密钥和明文。签名即标志着该文件是由支持 rar4.x 版本的软件压缩而成,如果使用支持 5.0 版本的压缩软件压缩,其签名可能会不同。要枚举的DBMS数据库表列(s)
CTF题目合集
cgygsw的博客
01-26 2731
在给定的代码中,call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method(也就是调用ping函数的方法 也就是destruct下面那个ping函数),并将 $this->args 数组作为参数传递给该方法。反序列化之后就会调用wakeup这个函数 : 这个函数的内容 是对参数的内容进行了循环遍历 执行WAF函数的内容。
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
ctf 选择题 题库_实验吧CTF题库-WEB题(部分)
weixin_39613548的博客
12-19 1226
看起来有点难提交adminhttp://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login用sqlmap检测是否有注入┌─[root@sch01ar]─[/sch01ar]└──╼ #sqlmap -u "http://ctf5.shiyanbar.com/basic/injec...
ctf题库ctf-pwn赛题收集
03-31
此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,...
初学ctf题目解析
07-07
初写ctf的一些方法
CTF-Web基础题
weixin_52182264的博客
04-21 6544
CTF-Web基础题
CTF基础题
Mars_boom的博客
10-21 6680
web基础题 了解webweb通过HTTP协议进行通信, 1、题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目场景: http://220.249.52.133:48687/ 答案:按F12/fn+F12打开源代码,查看到flag 2、题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 题目场景: http://220.249.52.133:36226 答案:关于robots协议,即爬虫协议,网站可以防止爬虫
CTF例题:
qq_63489512的博客
05-21 1613
第一次参加类似于ctf的比赛赛前准备,以及赛后对题目的总结
CTF例题合集(1)
weixin_51339377的博客
08-25 6578
判断出来闭合是单引号 接下来构造完整的闭合语句 发现回显正常 说明闭合差不多成功!可以使用and 1=1 和and 1=2进行控制性测试 这里不演示。1.用burp抓包登录进入,任意输入账号(除了admin)和密码即可,注意网页对admin账户最开始做了限制,所以admin是没办法登录进去的。(修改账号提交): nctf.nuptzj.cn/web13/index.php?状态码200表示请求成功 状态码401表示未授权访问 也就是登录失败。说明有3列在这个数据库中 接下来可以开始进行数据库的注入操作。.
CTFweb题库笔记(难度1)
cocoaiu的博客
08-11 8237
CTF笔记
CTFweb新手练习12题
wxwxwxww的博客
10-01 1184
攻防世界web新手练习12题
攻防世界复习web新手(7)
LGXJM20的博客
11-02 156
simple_php解题思路 描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。 思路:简单审计下代码,发现需要以get的方式传入两个参数a和b。 a参数的要求 a必须等于0且a为真 b参数的要求 b不能为数字且b大于1234 这道题的核心问题是理解PHP语言的弱类型,具体文章请参考:https://www.php.net/manual/zh/types.comparisons.php 构造参数a=x传入字符串x使a=0且为真,.is_numeric() 函数会判断如果是数字和数字字符
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值