bugku.ctf 刷题报告 WEB方向

最新推荐文章于 2024-07-17 16:42:00 发布
最新推荐文章于 2024-07-17 16:42:00 发布
阅读量585 收藏 2
点赞数 3
分类专栏: 学习笔记 文章标签: bug库刷题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44740377/article/details/89672258
版权

 来到bug库,先做了几道签到题如下:
 

难度排序:由易到难(作者主观)

 

第一题:WEB2:

点开链接:

 

 

如图所示满屏滑稽,按下f12或者直接右键审查元素:

找到了flag提交即可。

 

第二题:计算器

点开链接后:

只是一道简单的加法题,可是输入内容长度限制一位。。。

此时此刻我们右键审查元素:

找到了maxlength这个条件;双击修改:

改成3位后,输入答案点击验证即可得到flag。

 

web基础$_GET

这个需要一点php的基础,可以在菜鸟教程https://www.runoob.com/php/php-tutorial.html

学习一点php的基础语法,

在网址后面加上如图所示语句即可得到flag。

 

WEB3:

点开链接后阻止弹窗,右键审查元素发现有一行unicode编码,可以在html在线解密上解密这段编码得到flag。

 

你必须让他停下

打开网站后网页一直都在跳动,而且页面不同,猜测flag在其中的一些网页中,采用burpsuite一帧帧的看,在Repeter多次go,会发现每次go得到的jpg前缀数字不一样,等到数字变成了10就会发现flag。

头等舱

打开题目链接:

查看源码后发现页面含有隐藏元素,用burpsuite抓包:

得到flag。

现在技艺不精只能暂时先做这些。。。其他方向的日后再做。。。

持续更新.....

夜车星繁
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
bugku web
weixin_40658927的博客
04-08 333
域名解析本题要求我们把 flag.bugku.com 解析到120.24.86.145当我们打开flag.bugku.com时,我们会发现网页无法解析地址,所以我们需要手动解析我们可以在windows环境下打开host,然后添加:120.24.86.145     flag.bugku.com或者在Linux环境下:sudo gedit /etc/hosts      然后在输入:120.24.8...
Bugku CTF梳理
lin的博客
04-10 1288
大佬的刷题记录:https://blog.csdn.net/mcmuyanga 1.CTF常见题型 CTF比赛通常包含的题目类型有七种,包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。 MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 PPC(Professionally Program Coder)类型,即编程类题目,题目涉及到编程算法,相比ACM较为容易。 CRYPTO(Cryptography)
BUGKU刷题——WEB
D.MIND 的博客
12-28 298
<meta http-equiv="refresh" content="3"> 3秒之后刷新本页面或访问指定页面 < meta http-equiv="Refresh" content="秒数; url=跳转的文件或地址" > 设置http-equiv中的refresh属性,可以设置网页3秒之后刷新本页面或访问指定页面 双引号转义问题,JS的转义是使用斜杠 " / " 对于eval函数,参数需要是字符串,且为可执行的函数 eval("alert("\141\75\14
网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
最新发布
2201_75735270的博客
07-17 1355
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
CTF刷题网站汇总(包括本地可以自己搭建的)(1)
热门推荐
qq_51550750的博客
01-29 1万+
CTF刷题网站汇总(包括本地可以自己搭建的) CTF刷题平台汇总(欢迎各位师傅们补充) 第一个当然是CTFshow啦!https://ctf.show/ 攻防世界 https://adworld.xctf.org.cn/ Bugku https://ctf.bugku.com/ 论剑场 https://new.bugku.com/ Buuctf https://buuoj.cn/ Jarvisoj https://www.jarvisoj.com/ 墨者学院 https://www.mozhe.cn/ 看雪
20220129CTF刷题-- WEB方向
qq_51550750的博客
01-29 306
20220129CTF刷题-- WEB方向—新手级别 刷题网站:攻防世界 这题其实就是爆破,没什么特别的 随便尝试被告知要以admin登陆 admin登陆之后(随便输一个密码),又弹出密码错误,但是查看页面源代码,又被告知“你可能需要一个字典” 那就是用burp爆破一下就行了: username:admin password:123456 登陆后就有flag: ...
BUGKU--刷题
diecai2192的博客
06-05 219
刷题 一.BUGKU WEB 1. 变量1 知识点php两个$$是 可变变量,就是一个变量的变量名可以动态的设置和使用 $GLOBALS一个包含了全部变量的全局组合数组。变量的名字就是数组的键 <?php include "flag.php"; //包含flag.php这个文件 $a = @$_REQUEST['hello']; //$a...
CTF---Web---文件包含---11---构造访问路径+过滤php代码
qq_22160557的博客
08-01 2312
文章目录前言一、题目描述二、解题步骤1、寻找上传点2、上传一句话木马3、构造访问路径3、绕过php代码过滤4、蚁剑连接三、总结 前言 题目分类: CTFWeb—文件包含—11—构造访问路径+过滤php代码 一、题目描述 题目:Bugku—文件包含2 http://114.67.246.176:13862/index.php?file=hello.php 二、解题步骤 1、寻找上传点 Step1:右键源代码,发现上传页面upload.php 2、上传一句话木马 Step2:因上传文件有限制,所以将一
CTF---Web---文件包含---10---三种本地包含
qq_22160557的博客
07-29 1006
文章目录前言一、题目描述二、逻辑解析三、解题方法1、将flag.php读入变量hello中2、 eval存在命令执行漏洞,用hello构造payload3、构造伪协议四、总结 前言 题目分类: CTFWeb—文件包含—10—三种本地包含 一、题目描述 题目: 文件包含 二、逻辑解析 <?php include "flag.php"; //可知flag在flag.php里, $a = @$_REQUEST['hello']; //$_REQUEST[]支持get
ctf工具整理-持续更新
dark的博客
07-15 1万+
声明:作者整理的ctf工具仅为学习,如有侵权请联系作者删除博文,谢谢! 目录 1. 通用工具 2. web工具 3. 离线解码工具 4. 在线解码工具 5. 杂项工具 6. 逆向工具 1. 通用工具 1.1 网络抓包工具:Wireshark 1.2 攻击web 应用程序的集成平台:BurpUnlimited 2. web工具 2.1 后台扫描工具:御剑后台扫描珍藏版 2.2 浏览器插件:HackBar 用来进行sql注入以及xss测试或进行各种编码功能 2.3 目录/文件和DNS爆破.
BugKu Web(21-25)
kid的博客
06-06 1952
BugKu Web(21-25) 前言 bugku刷题,本来想每10道写一篇的,但水平有限,发现到这里题目难度已经有点大了,所以每5道题整合一篇吧… 题目 秋名山老司机 登陆可以看到如上提示,然后快速刷新可以看到要求是post提交,键名为value 这肯定是人工没法完成的,必须写脚本 py脚本写起来的时候,没有用过eval函数,是真的痛苦,不断字符串处理,条件判断… 最后还不对,最后看...
CTF入门学习(Web方向
Shirongliang的博客
06-23 1968
CTF入门刷题(攻防世界web)-1
CTF —— web方向思路
吃肉唐僧的博客
09-08 6392
这段时间在刷CTF题目,在做到web方向的时候,一开始面对题目的时候,总有一种束手无策的感觉,在做了一些web题目后,写一下总结希望以后做的时候可供参考 解题大方向 ctf不同于真实实战,有很多题解出来需要绕很多弯,有时候我都怀疑很多题目是为了出题而出题...... 这样有不好也有好,就是ctf的题目无论多难解,都会给你承上启下的线索,这个...
CTF练习网站
qq_41345298的博客
07-20 3159
一、在线做题: 推荐的: http://pwnable.tw/(一组较新的高质量可挑战) http://pwnable.kr/(最近流行的一系列挑战之一) https://picoctf.com/(专为高中生而设计,虽然该活动通常每年都是新活动,但仍留在网上并且难度很大) https://microcorruption.com/login(最佳界面之一,良好的难度曲线以及低级逆向工程的介绍,特别是在MSP430上) http://ctflearn.com/(一个新的基于CTF的学习平台...
BugkuCTF | Web 刷题笔记
pone2233的博客
10-29 367
10/29 目录 文章目录10/29目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下本地包含没了,打不开靶机变量1web5头等舱网站被黑 web2 F12出 flag KEY{Web-2-bugKssNNikls9100} 计算器 我们打开F12 发现她限制输入一位数,可是它的答案都是好几位,我们修改一下,就有了flag flag{CTF-bugku-0032} web基础$_GET 在上方加入?what=flag flagflag{bugku_
实验吧CTF刷题记录(web篇)
sinat_21923549的博客
03-10 8709
1.这个看起来有点简单 解题链接: http://ctf5.shiyanbar.com/8/index.php?id=1 手工检测是否存在sql注入 使用sqlmap爆出当前数据my_db 发现可能藏有key值的thiskey表 进一步爆出字段k0y并得到key值。 2.程序员的问题 解题链接: http://ctf5.shiyanbar.com/web/4/index
bugku web刷题记录(持续更新)
m0_52672533的博客
11-28 803
Simple_SSTI_1 首先看这个题目名字,ssti,很明显是模板注入,首先我们可以测试下 没有问题,那么我们该如何获取flag呢,首先做题先看源码 我们需要了解在语法中只需要使用config.SECRET_KEY就可以获取这个字段的值,于是构造payload为?flag={{ config SECRET_KEY }}即可 Simple_SSTI_2 看题目。难度肯定上升了,这些内容我都是边做边学,所以感觉挺难的。查看源代码没有任何提示。老样子,继续测试 ...
CTF刷题
m_de_g的博客
06-01 426
BugKu——SSTI 1、判断是否存在ssti漏洞 2*8=16 说明存在ssti漏洞 List item 2、开始模板注入 知道’’的类型是字符型。 3、接下来我们找其父类 找到父类,父类是’object’ 4、因为只有一个’父类’,需要加一个下标, 5、找父类下的所有子类 {{’’.class.bases[0].subclasses()}} 6、接下来使用脚本,跑出那个子类中含有os模块 运行find_func.py脚本 输入字符串的地方,把所有的子类将其放入到其中,然后模块的话,直接
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值