web
关注
分享
扫一扫
web安全专栏
_n19hT
Don't limit yourself!
展开
-
审计代码(攻防世界 web simple_js)
可算刷到web新手区最后一题了,终于上了代码审计。题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )打开链接页面弹出一个输入密码的对话框,但是试了好几次都显示错误。F12查看网页源代码。function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,...原创 2020-03-01 21:43:57 · 1615 阅读 · 0 评论 -
攻防世界 web command_execution
题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。题目网站就是这样的,啥都没有…决定从waf下手。WAF简介:Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应...原创 2020-03-01 17:35:07 · 3823 阅读 · 2 评论 -
攻防世界 web webshell
做题两分钟,工具两小时题目描述:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。所谓的php一句话:<?php @eval($_POST['shell']);?>这个是PHP最常见的一句话木马的源码,通过post木马程序来实现木马的植入,eval()函数把字符串按照PHP代码来计算这题又涉及到新的web工具,Cknife (因为现在网络上菜刀的后...原创 2020-03-01 13:29:48 · 3405 阅读 · 2 评论 -
攻防世界 web xff_referer
真棒!每个web题都能学点新东西,而且感觉很nb的样子。不像pwn,wtnl…本题涉及:XFF:X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。referer:HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页...原创 2020-03-01 00:30:47 · 655 阅读 · 0 评论 -
攻防世界 web get_post
需要用到插件:Max hackbar浏览器:火狐浏览器题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?http的两种请求分别是get和post(看题目就知道)get和post区别GET在浏览器回退时是无害的,而POST会再次提交请求。GET产生的URL地址可以被Bookmark,而POST不可以。GET请求会被浏览器主动cache,而POST不...原创 2020-02-29 19:17:35 · 1091 阅读 · 1 评论 -
攻防世界 web simple_php
XX:php是世界上最好的语言!我:看不懂啊…(纯属娱乐,Java党勿喷)题解部分php代码:<?phpshow_source(__FILE__);include("config.php");$a=@$_GET['a'];$b=@$_GET['b'];if($a==0 and $a){ echo $flag1;}if(is_numeric($b)){ ...原创 2020-02-29 11:32:06 · 757 阅读 · 0 评论 -
利用burp suite进行弱口令爆破 (攻防世界web weak_auth)
终于刷到这种题了,做二进制的时候用过python爆破…用burp suite跑字典还是第一次。那就从这个简单的字典爆破开始吧。利用工具:burp suiteBlasting_dictionary-mastergithub字典爆破环境:kali linux正题开始题目叫做weak_auth,翻译过来就是弱口令爆破打开是一个登陆界面,username和password都使用a...原创 2020-02-28 14:10:13 · 5164 阅读 · 0 评论 -
攻防世界 web disabled_button
如何修改网页原代码题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?F12查一下网页源代码。和flag按钮相关的就是画线处,尝试把这里删去。发现这个flag能按了,点击flag发现下面出现了flag内容。cyberpeace{949959a19c1a6b5fbe7c40c561a00a65}...原创 2020-02-27 20:20:32 · 1872 阅读 · 0 评论 -
攻防世界 web cookie
终于用上Burp了,web题不可缺少之利器!我们启用kali来做这一题。直接打开网址,如下图所示:在URL后面加上/cookie.php,如下图所示:给的提示是"See the http response"上Burp suite进行抓包。注意在抓包前要对浏览器进行如下设置(具体的Burp suite使用方法自行百度)打开burp suite,浏览器访问~/cookie.php,...原创 2020-02-27 19:54:34 · 1792 阅读 · 0 评论 -
攻防世界 web backup
题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!根据题目描述,这一题跟备份文件有关。打开题目链接,index.php文件的备份文件名是什么?通过搜索得知,index.php文件的备份名是.php.bak(据说还有一种是.php~,但我用这种没有成功)在URL链接后面加上/index.php.bak,发现下载了一个.bak文件用notepad+...原创 2020-02-27 11:42:54 · 328 阅读 · 0 评论 -
攻防世界 web robots
终于见到了一个协议了!!!题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。通过题目描述就知道这题要用到robots协议,所以百度一下。robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器...原创 2020-02-27 11:14:08 · 1848 阅读 · 0 评论 -
攻防世界 web view_source
三月份有个ctf线上赛,想在这之前学一点web的相关知识。web的这一块一直接触的比较少,当初Xman讲web的时候因为听不懂全程在做pwn…现在决定先刷一遍攻防世界新生区web。题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。查看网页源代码我还是知道的,快捷键F12。首先点进链接,发现没有flag。F12查看源代码,发现一行字符串,就是我们要找...原创 2020-02-27 10:52:54 · 453 阅读 · 0 评论