#XCTF整理#web新手练习区

最新推荐文章于 2021-09-26 11:46:58 发布
最新推荐文章于 2021-09-26 11:46:58 发布
阅读量446 收藏
点赞数
分类专栏: # 题解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43476037/article/details/100174681
版权

目录

view source

  • 查看源代码,右键不能用就F12呗
    在这里插入图片描述

get post

  • get可以通过url直接传进去
  • post利用hackbar传入(get也可用hackbar直接传)

robots

  • 访问:http://111.198.29.45:47041/robots.txt里面有f1ag_1s_h3re.php
  • 访问:http://111.198.29.45:47041/f1ag_1s_h3re.php得到flag

backup

  • 题目提示备份文件,先试了一下.swp,发现不行
    https://cdn.nlark.com/yuque/0/2019/png/298024/1564227461498-dccdb2b1-0394-41c4-b2a4-9515f1584903.png
  • 根据题目backup猜想.bac,下载文件,打开得到flag
    在这里插入图片描述
  • 常见备份文件后缀
  • .rar,.zip,.7z,.tar.gz,.bak,.swp,.txt,.html,linux中可能以" ~ " 结尾

cookie

  • 查看cookie,提示cookie.php
    在这里插入图片描述
  • 让你看http响应,得到flag
    在这里插入图片描述

disabled_button

  • 修改源代码,把disabled删了,点击即可获得flag
    在这里插入图片描述

simple_js

  • 看源代码,发现一个解密函数和一个16进制文本
    在这里插入图片描述
  • 16进制转字符串得到一串数字,根据解密函数,转成ASCII码得到flag
    https://cdn.nlark.com/yuque/0/2019/png/298024/1564227422171-2146c1d4-1407-4bc3-8e6c-22d6e0e46011.png

xff_referer

  • 用Burp Suite伪造:
  • X-Forwarded-For: 123.123.123.123
  • Referer: https://www.google.com

weak_auth

  • 抓包,设置password为爆破点
  • 利用字典爆破,密码为123456

webshell

  • 利用菜刀,密码是shell

command_execution

  • 利用&&执行多个命令,利用ls查找文件127.0.0.1 &&find / -name "*.txt"
  • 找到flag.txt,查看127.0.0.1 && cat /home/flag.txt得到flag

cyberpeace{8333cbdfb5aa36d1238a005b1241a6cb}

simple php

  • 简单代码审计
  • 一个是==的判断,一个是要b不是数字还要他大于1234,所以构造a=0e10&&b=1235a
vircorns
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF 攻防世界 web 新手练习
XQin9T1an的博客
07-24 7478
XCTFweb新手练习题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0 0x01 view_source 题目链接:http://111.198.29.45:51846/ 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 根据题目提示和标题,我们可以...
XCTF web新手wp
qq_45414878的博客
11-02 222
XCTF web新手wp title: XCTF web新手wp date: XCTF web新手wp 19:49:08 categories: xctf tags: [ctf,web狗的成长] 1、view_source F12查看页面源码,发现flag。 2、robots 看题目知道robots.txt里面应该有我们想要的东西-flag(robots.txt可以禁止网络爬虫爬取特定目录)。 3、backup 熟悉常见的备份文件扩展名,逐个测试,最终备份文件为:index.php.bak
XCTFweb新手入门题目WP
c1ean's Blog
09-20 355
XCTFweb新手入门题目WP 1.view source 提示是查看源代码,无法右键,那就直接F12打开开发者工具便可得到flag 2.robots 直接访问robots.txt文件可得到flag文件名称。 然后打开f1ag_1s_h3re.php文件便可获得flag. 3.backup 提示index.php的备份名,那便尝试index.php.bak,然后打开F12得到flag。 4.cookie 提示cookie那便打开F12,找到网络那一栏,可以看到一个提示叫我们查看cookie.php文
XCTF-WEB
qq_43661408的博客
06-22 495
post和get 题目链接:http://111.198.29.45:34348/ 解题思路 首先使用 get方式提交变量a等于1 即 http://111.198.29.45:34348/?a=1 得到 第二条信息 需要使用post提交一个变量b值为2 因此使用火狐自带的插件hackbar,但是现在火狐更新后不能使用了,替代hackbar的插件有了 Max hackbar 和 hackbar q...
攻防世界web新手题答案_攻防世界XCTF-WEB-新手练习(1-3)
weixin_39884100的博客
11-21 1311
第一题:view_source题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。通过描述提示发现鼠标右键不能能使用,大概是让我们不让我们查看网页源代码,可以按f12打开开发者工具进行查看,flag是:cyberpeace{ac9d97dc4b075ec9a16834300222ef10}第二题:robots题目描述:X老师上课讲了Robots协议,小宁同学却上课打...
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
네이버 뉴스 댓글 플러스-crx插件
04-02
语言:한국어 Naver Sports News为体育新闻的评论增加了多种方便的功能。 缺点:此扩展不是Naver Corp.,Naver(Naver Corporation)的官方计划,对此扩展名的错误和客户支持。*******************************************为什么我需要您访问的网站的整个数据查询和变更?*******************************************在此扩展功能期间,它显示了评论表示的URL,并且用户在链接中具有鼠标,并且链接指向链接的功能,并将标题/描述/图像的功能作为预览类型。工具提示。这是访问此扩展的权限,并在任何站点(即,注释中的地址)上读取页面上的页面,而不是当前文章页面(Naver站点)。由于此扩展仅在Naver(体育)新闻页面上,因此在生命周期发生时无法始终运行。此扩展选项 - 为什么?您可以在零件中更详细地检查它。*******************************************提供的扩展名***************************************
Android蓝牙串口DEMO
03-15
此代码是与蓝牙串口之间的通信,如果与其他蓝牙设备通信请修改UUID。其中BluetoothDemo是Android源码,SerialportUtility是调试工具,有蓝牙功能的电脑可使用此工具模拟蓝牙串口模块。注意此代码中没有做配对,请先在安卓手机或PAD上先配对后再使用。
xctf平台web答题笔记
qq_42874910的博客
09-11 346
web答题笔记view_sourceget_postrobotsbackupcookiedisabled_buttonsimple_jsweak_authwebshellcommand_executionsimple_php view_source 无法右键查看源码,使用f12查看源码 get_post 这里我使用firefox的插件hackbar 首先要求get方式提交值为1的a变量,默认情况...
XCTF攻防世界Web12道简单题
高野02blog
11-30 467
0x00 准备 【内容】 在xctf官网注册账号,即可食用。 【目录】 目录 0x01 view-source2 0x02 get post3 0x03 robots4 0x04 backup6 0x05 Cookie7 0x06 disabled button8 0x07 simple js9 0x08 XFF Referer10 0x09 weak auth(弱口令密码)12 0x10 web shell15 0x11 command_execution16 0x12 simple php18 0xff
XCTF web新手练习_1-12
H4ppyD0g的博客
07-15 2326
view_source 查看网页源码的方法: (1) F12(如果只按F12没反应,就功能键+F12)可以查看网页源码。 (2) 网页源码的url以view-source: 开头。在本网页的url前面加上这个可以获取。 (3) 通过python的requests.get()可以获取网页源码。 ———————————— get_post ...
特殊字符大全-表情字符-指示符号-汉语拼音-希腊字母-俄文-注音-箭头-月日文-花心型-方形-排序-制表-单位,框内字,好看的字符,国际象棋-星座-货币-音乐-聊天表情昵称测试输入等[请勿转载抄袭]
热门推荐
巨蟹上升处女
09-26 5万+
特殊字符大全-汉语 拼音 希腊 字母 俄文 注音 箭头 月 日文 序集花 心型 方形 点数 绘制表单位,框 内字 排序 字符 国际 象棋 星座 货币 音乐 扑克 名称 昵称 测试输入等[已整理]
应用计算机技术求解问题的步骤,计算机系统的工程问题求解过程分为5个必须的步骤,其中第一个步骤应该是 A. 设计解决方案并将其转...
weixin_42515822的博客
06-19 3943
满意答案panshuai714推荐于 2017.10.14采纳率:53%等级:12已帮助:7397人计算机系统的工程问题求解过程分为5个必须的步骤,其中第一个步骤应该是设计解决方案。在创建应用程序之前,必须明确使用VisualBasic创建应用程序涉及的几个步骤。在动手编写代码之前,应制定一个详尽的程序开发计划,这对于以后的创建工作有非常大的帮助,它可以帮助开发者更加高效地进行开发工作,并...
XCTF-MISC-新手:ext3
1stPeak's Blog
12-03 2517
题目: 我们下载附件1,看看里面有什么 发现上图所示的一个文件,总共有两种解决方案: 1、放入Winhex 2、根据题目ext3,可以使用Linux进行挂载(ext3是一个日志文件系统,常用于Linux操作系统) 方案一: 将文件直接放入Winhex,找到flag.txt,但是我们如何打开呢? 此时,我们可以尝试,将目标文件后缀改为zip,进行解压,从而得到文件中的flag.txt文件 发...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值