Bugku CTF-web3 GET型传参

最新推荐文章于 2024-05-10 07:14:38 发布
最新推荐文章于 2024-05-10 07:14:38 发布
阅读量1.9k 收藏 7
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44023403/article/details/115790796
版权

前言:最近开始接触bugku,感觉适合新人培养兴趣。自己在学习的时候写个笔记,督促自己多去学习和巩固知识。如果文章和代码有表述不当之处,还请大佬不吝赐教。

Bugku CTF-web3 GET型传参

基础知识

HTTP的GET请求: 从指定的资源请求数据。
HTTP的GET请求方式: GET提交的数据会放在URL之后,以?分割URL和传输数据,参数之间以&相连,如和http://XXXX.com?name=test1(参数1)&id=123456(参数2)。

解题

在这里插入图片描述
查看PHP代码,发现可用GET类型的HTTP来请求参数,构造URL来传参;

$what=$_GET['what'];//读取参数what,把值存到变量what里
echo $what;     //输出参数what
if($what=='flag')//如果参数what值是flag
echo 'flag{****}';//打印flag

直接URL构造GET型传参,输入?/what=flag,前端就会显示出flag值。
在这里插入图片描述

看我的眼色行事
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF---Web---SQL注入---10---get传参的删减
qq_22160557的博客
08-01 464
文章目录前言一、题目描述二、解题步骤1、注入点的确定2、爆字段三、总结 前言 题目分类: CTF—Web—SQL注入—10—get传参的删减 一、题目描述 题目:小试牛刀 二、解题步骤 1、注入点的确定 Step1:利用http://172.16.15.193/stage/9/get_info.php?title=xiaoshiniudao&order=id 这个网址跑sqlmap,提示title不是注入点。 Step2:此题为get传参,参数可以删减。猜测注入点为order。 sqlm
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
菜鸡摸鱼BUUCTF-GET传参
weixin_45734980的博客
04-06 638
[极客大挑战 2019]Havefun 题目看一眼源代码先 源代码中的注释语句,$cat参数是由get方法传入的,内容是“cat=”后的内容。如果参数内容是"dog",则输出Syc{}的内容。 所以构造url:…/?cat=dog 得到flag。 ...
CTF入门web篇18命令执行无回显的判断方法及dnslog相关例题_ctf web题传参数后没有回显
最新发布
2401_83620654的博客
05-10 718
例:我们在公网机上可以通过”nc -lv 端口号”来监听该端口,当目标机”curl 公网机ip:端口号”的时候,公网机的该端口可以发现有http请求过来。目标机通过向公网可通信的机子发起http请求,而这个公网可通信的机子是我们可控的,则当该公网机子收到http请求就代表命令有执行。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?
BugKu中web题之post,get传参
D-R0s1的博客
07-21 3726
                          BugKu中web题之post,get传参        CTF比赛中web题里经常会见到post和get传参的题,原理也很简单,在get传参的时候,要构造URL拿一道BugKu中的题来举个例子 很明显,只需要构造what=get,回车,即可得到答案。    在post传参的时候,也是看一下代码要求,例如:       显然...
ctf get post 传参 HackBar
热门推荐
weixin_44614983的博客
01-31 3万+
get和post是http协议的两种基本请求方式 GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据 https://www.w3school.com.cn/tags/html_ref_httpmethods.asp 知乎上这篇更详细,关于get和post的区别 https://www.zhihu.com/question/28586791 web题中会遇到,比如...
Bugku CTF-web4 POST传参
weixin_44023403的博客
04-18 3658
前言:最近开始接触bugku,感觉适合新人培养兴趣。自己在学习的时候写个笔记,督促自己多去学习和巩固知识。如果文章和代码有表述不当之处,还请大佬不吝赐教。 Bugku CTF-web4 POST传参知识积累解题总结 知识积累 HTTP的POST请求:向指定的资源提交要被处理的数据。 HTTP的POST请求方式:把提交的数据放在HTTP包的Body中。 解题 查看PHP代码,发现可用POST类的HTTP来请求参数,构造报文头来传参 $what=$_POSTI'what'];//读取参数what
BUUCTF 之 [极客大挑战 2019] Havefun(GET 传参
两个月亮
12-29 2309
网站首页没有按钮,提示信息等等。遇到这种情况往往需要查看网页源代码或进行网站后台扫描。我们先来查看一下网页源代码(右键后点击。在地址栏中输入构造后的链接,敲击。启动靶机后,映入眼帘的是一只猫。这是一段 PHP 代码。即可获得 flag。
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF夺旗赛-GET参数注入
qq_39687353的博客
05-09 1456
个人笔记仅供参考 1.首先确保kali攻击机和靶机在同一个网段,使用ifconfig查看靶机ip 2.使用nmap -sn -PE 192.168.80.1/24命令扫描出同网段靶机ip 3.使用nmap -sV 192.168.80.132 命令扫描靶机开放服务端口 4.由于扫描出来的端口服务并没有大端口开放,因此存在大端口漏洞几率不高,所以我们再探测80端口使用命令dirb http://192.168.80.132:80 发现存在admin/login目录,于是在浏览器打开网
CTFweb篇——GET&POST
suiyideAli的博客
09-21 2万+
0x00 前言 1. 首先使用BurpSuite 抓取一个http文件进行分析 2. 左边为请求信息,右边为响应信息;请求信息有三部分组成,分别为请求行、请求头、和请求正文组成。响应信息也有三部分组成,分别为响应行、响应 头、响应正文。 3. 首先可以看一下请求行 GET /index.php?tn=monline_3_dg HTTP/1.1 GET方法。GET方法用于获...
CTF web题目中怎么用写脚本的方法POST传参?——-利用python脚本
日熙的博客
07-14 3951
Python 提供了简单易用、功能强大的 HTTP 第三方开源库 Requests,帮助我们轻松解决关于 HTTP 的大部分问题。 在写python脚本之前必须得先导入requests模块哦,详细教程见:win10 python如何安装requests———超详细教程 下面就用题目Bugku web基础$_POST来做示范: 运行python程序,输入如下命令: import requests r = requests.post(‘http://123.206.87.240:8002/post/’, dat
一道反序列化的CTF题分享
seek_2022的博客
07-23 1099
一道有趣的CTF题目
ctf刷题记录
enhengzZ的博客
04-23 1367
基础认证题 页面中依据提示 可猜测用户为admin 可弱口令尝试(admin)------失败 暴脾气,,,词典爆破! 下载其页面提供的词典 抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 载入词典 此处开始走弯路:1.词典所加载的均为密码,缺少用户名(发现问题后,度娘学习正则表达式,很好,又学了个奇奇怪怪的姿势)2.词典爆破后一直都是401返回,长度均为404,没有出现200返回(原因未明) ----------------------------
CTF训练笔记(六)- HTTP服务(SQL注入→GET参数注入)(待续)
morrino的博客
04-27 1353
本文介绍了SQL注入中get参数注入部分,也介绍了一些渗透测试常用工具及具体使用实例
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类:确定注入点后,我们需要判断注入类。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值