XCTF web新手区wp

最新推荐文章于 2023-01-13 14:41:55 发布
最新推荐文章于 2023-01-13 14:41:55 发布
阅读量261 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43872099/article/details/104554549
版权

001 view_source

右键点击不了,F12查看源码拿到flag
在这里插入图片描述

002 robots

网络爬虫排除协议,在/robots.txt里可以看到flag所在的页面

在这里插入图片描述

003 backup

备份文件index.php.bak,下载下来打开就能拿到flag
在这里插入图片描述

004 cookie

bp抓一下cookie.php的请求,flag在响应里
在这里插入图片描述

005 disabled_button

前端将disabled改成enabled就可以点击了
在这里插入图片描述

006 weak_auth

弱口令admin 123456

007 simple php

php弱类型绕过

payload:?a=0e2&b=2500/2

008 get_post

在这里插入图片描述

009 xff_referer

bp抓包,在http头中添加以下信息:

X-Forwarded-For:123.123.123.123

Referer:https://www.google.com

010 webshell

直接菜刀连接,密码为shell,找一下flag就可以了

在这里插入图片描述

011 command_execution

命令连接符在ping命令执行完后执行下一条命令
在这里插入图片描述

012 simple_js

源码最下面有一串字符

python处理一下得到55,56,54,79,115,69,114,116,107,49,50

在这里插入图片描述

ascii转换就得到需要的字符串,再加上flag的格式

a = [55,56,54,79,115,69,114,116,107,49,50]
b = ""
for i in a:
    b += chr(i)
print(b)
0xdawn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF篇:Web (新手练习)
小明师傅博客
06-09 512
1.view_source F12调出,后复制 2.robots 这里打开robots.txt 可以查看不让爬虫爬的目录 3.backup 备份文件,后缀加 .bak 下载下来 4.cookie f12,查看加载的cookie,发现在文件里 访问查看 5.disabled_button f12把disabled删了 6.weak_auth bp爆破 7.simple_php 解释 === 会同时比较字符串的值和类型 == 会先将字符串换成相同类型,再作比较,属于弱类.
XCTF web wp
Mr_Shiyang的博客
04-13 444
计算字符串 "Hello" 的 MD5 散列:
xctf web wp
qq_63267612的博客
02-11 2131
simple_php 最简单的php,根据题目,get a和b的值如果a和0比较返回为true,而且a为真而且b不是纯数字,而且b要大于1234满足这些条件则返回flag 所以在网页后面加上代码?a=0a&b=a4567得到flag disabled_button 题目是一个不能按的按钮,那把它变成能按的就行,下载下来然后用文本打开,删除disabled,然后再用浏览器打开就能按了,可以得到flag get_post 题目第一步就直接在网页后面赋值就行,然后题目要求请再以POST方式随便提交一个
xctf webWP
weixin_64286326的博客
01-23 2394
1 cookie 在浏览器打开场景后F12 这里很明显提示地址了,我们在地址栏加上cookie.php 根据提示找到flag 2 disabled_button 打开场景 不能按,试了试确实不能按哈哈,很简单,查看源码 将disable删除就行,按一下就得到flag 3.weak_auth 我们试着登入试试 将用户名换成admin 我第一次试的密码就是123456,结果直接出现flag了,哈哈我。不过为了学习我们还要重新试一下 要用...
XCTF_WP_新手
Lee_7Z的博客
12-01 312
XCTF_WP_新手向 文章目录XCTF_WP_新手向REVERSE一、新手二、进阶——————————————————————MISC一、新手二、进阶总结 提示:以下是本篇文章正文内容,下面WP可供参考 REVERSE 一、新手 insanity 拖进IDA,发现main函数没啥用,shift+F12看到 猜测9447{This is a flag}为flag,提交通过 二、进阶 —————————————————————— MISC 一、新手 this_is_flag
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 ...在url中提交后便可访问页面源码,在...
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-RE】新手练习-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
XCTF - web - wp1 (不定期整理)
weixin_42444939的博客
09-06 664
upload ( RCTF - 2015 ) 一进入靶场有个登陆注册(看上去像是二次注入,算辽先忍住骚操作,老老实实按部就班) 于是得到下面的上传文件界面: 结合题目upload,自然按照文件上传漏洞往下做 这里用我最常用的php一句话进行挂小马尝试: <?= $fun = base64_decode($_REQUEST['fun']); $arr = array($_POST['...
XCTF web进阶wp(一)
0xdawn的博客
02-28 942
001 Training-WWW-Robots 查看robots.txt,发现Disallow: /fl0g.php,打开后得到flag。 002 baby_web 初始页面为index.php,bp抓包查看响应就行 003 warmup F12拿到源码链接source.php hint.php:flag not here, and flag in ffffllllaaaagggg &l...
XCTF 攻防世界 webwp总结
zhy的博客
12-31 3547
xctf上的oj对ctf新手来说,算是比较友好的,由浅入深的题目,除了有一些脑洞题外,其他基本都还算是可以的,给实验室的ctf队伍做讲解交流,也是一直推荐大家去刷一下,出了新手村,把进阶题做好,基本对于一些常见的漏洞和题型能够有了解了。趁着有时间,整理一下之前的wp,给实验室同学提供一下参考,省的到处找wp,也希望能给其他想做这个平台上题目的人一些帮助。不过,做CTF题,还是建议先自己想,自己钻研...
XCTFweb新手入门题目WP
c1ean's Blog
09-20 352
XCTFweb新手入门题目WP 1.view source 提示是查看源代码,无法右键,那就直接F12打开开发者工具便可得到flag 2.robots 直接访问robots.txt文件可得到flag文件名称。 然后打开f1ag_1s_h3re.php文件便可获得flag. 3.backup 提示index.php的备份名,那便尝试index.php.bak,然后打开F12得到flag。 4.cookie 提示cookie那便打开F12,找到网络那一栏,可以看到一个提示叫我们查看cookie.php文
XCTF攻防世界Web新手入门题WP
A1andNS's Blog
11-09 715
学习的小笔记
确认个人电脑外网ip,并设置阿里云服务器只允许该ip访问
静笃塾
10-22 3704
确认个人电脑外网ip,并设置阿里云服务器只允许该ip访问
阿里云安全组规则授权对象设置为固定IP段访问
chenrui310的博客
01-13 1707
但是,问题来了,我们家庭使用的宽带网络的ip地址并不是唯一的,同时几百个人共享一个ip也是可能的,这就意味着我们之前填入的ip地址是会不停变化的,我们之前的ip是123.123.123.123,可能过了两天就变成了123.123.122.111,同时,我们授权的那个ip地址和现在的ip不符,于是我们就无法访问这个端口了。需求是,只让本地某个段ip去访问地址,其他不能访问网站,逻辑是通过,域名的端口设置,再添加端口的安全规则去规定ip端限制。我们之前所用的0.0.0.0/0就是这个格式,他代表着全部的ip。
gentoo 平台上安装 sendmail 邮件服务器,以及dovecot收件器,及相应配置
jixiuffff的专栏
09-18 5350
sendmail 要用到域名解析,反向域名解析,所以要选安装dns 服务器bind,安装方法及配置见http://blog.csdn.net/jixiuffff/archive/2009/11/07/4782285.aspx简要摘写如下/etc/bind/named.confoptions { directory "/var/bind"; // uncomment the following lines to turn on DNS forwarding, // and change the f
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值