BugKuCTF WEB

wWw,,,,

已于 2022-10-18 10:56:53 修改

阅读量885

点赞数 1

分类专栏： BugKuCTF 文章标签：前端 php 服务器

于 2020-11-24 19:55:41 首次发布

本文链接：https://blog.csdn.net/weixin_45002770/article/details/110093182

版权

本文详细介绍了BugKuCTF中涉及WEB安全的挑战，包括通过查看源代码、利用JavaScript代码、PHP函数、域名解析、抓包工具等方法获取flag，涉及前端、PHP和服务器知识。

摘要由CSDN通过智能技术生成

文章目录

BugKuCTF WEB

BugKuCTF WEB

平台地址

一、web2

进入网页，查看源代码，在其中找到flag

二、计算器

进入网页，根据题目可得知需要输入运算结果，但限制了输入的数字的个数，查看网页的JS代码，将 maxlength = "1"，修改为maxlength = "3"，再输入结果，即可得到 flag

三、web基础$_GET

进入网页，给了一串代码

$what=$_GET['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';

分析代码：

通过get传入一个 what ，当what的值为flag时，会输出flag

构造pyload：

http://123.206.87.240:8002/get/?what=flag

四、web基础$_POST

进入网页

$what=$_POST['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';

分析代码：

通过 POST 的方式传入what，当what的值为flag时，会输出flag

利用 Hackbar 的 POST 或 brupsuit 中添加 POST 传入 what=flag，即可得到flag

五、矛盾

进入网页

$num=$_GET['num'];
if(!is_numeric($num

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

wWw,,,,

关注关注

1
点赞
踩
5

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

bugkuctf web 部分wp（自己看得懂）

LJW_wenjingli7的博客

12-15

2513

1.本地管理员进入网址，查源码，异常的一串n，拉进度条看 == 是base64，解出test123 ，像密码。这种未知的系统一般要爆破，随便填账号密码，连接代理，打开bp 右键发到repeater,去掉cookie请求，用XXF伪造请求IP，(能考虑到管理员可能是admin，直接省略改名）改user=admin，发送即可 **XXF: X-Forwarded-For:(HTTP的请求端真实的IP) 如题中的：X-Forwarded-For:127.0.0.1 XFF注入..

bugkuctf解题-WEB

05-04

bugku writeup，web解题writeup，根据网上的writeup自行解题后整理的日记，与大家分享，大家有新方法的也可以评论中告诉我，共同进步。——CTF菜鸟敬上。

1 条评论您还未登录，请先登录后发表或查看评论

BugkuCTF--WEB

其实我是C先生--的博客

11-17

348

初次接触CTF,入门级别 BugkuCTF–WEB 系列计算器直接F12 查看一下，更改一下input的 maxlength就好 web基础$_GET 虽然没学过php ，但是也是可以看出来，通过get 请求，如果what= flag 就给结果，所以，因为是get请求，那就直接在url 添加变量值就好了 web基础$_POST 这道题和网上的解法不太一样，自己拿到flag 后上...

[Bugku] web-CTF靶场系列详解①！！！

最新发布

muyuchen110的博客

07-30

1117

平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台，部分赛题采用动态FLAG形式，避免直接抄袭答案。

BugKu CTF Web

qq_51110485的博客

06-28

2260

BugKu CTF Web滑稽计算器GETPOSTSimple_SSTI_1矛盾Simple_SSTI_2 滑稽启动场景，打开链接，页面是一堆滑稽图片，查看网页源代码，flag在注释里面，去掉注释，提交即可。计算器打开链接，发现左边是一个加法运算，得到结果是119，但是输入框内只能输入1位数字，fn+f12（win10）打开审查代码，将输入框的maxlength改为3，输入结果，弹出flag。 GET 打开链接，访问页面，发现是一个简单赋值判断，意思是提交get类型 what=flag 会输出fl

BugkuCTF——WEB（1）

qq_43592364的博客

01-15

1940

一、Web2 题目网址：http://123.206.87.240:8002/web2 鼠标右键，查看网页源代码即可看到flag 二、计算器题目网址：http://123.206.87.240:8002/yanzhengma/ 输入答案发现只能输入一位数字右键查看源代码发现有一个js 点进去之后发现了flag 三、Web基础$_GET 题目网址：h...

BugkuCTF web篇

weixin_45689999的博客

01-19

792

1.web2 先打开F12看看，很容易发现在注释里面有flag。把flag后面内容输入即可。 2.计算器发现是一道及其简单的计算题（要是手上没有计算器有些题比较难算的话，可以点击题目换一道蛤，但是怎么换答案都是两位数以上的），输入答案，发现只能输入一位数，打开F12 发现他可输入字符长度为1，双击修改成10等位数，再输入正确答案，flag就出现了。 3.web基础-GET变量参考以下网址了解_...

Bugku CTF web-19 速度要快

weixin_47387913的博客

04-14

1041

Bugku CTF web-19 速度要快在ctf-web板块攻破了一些题目，每当提交flag的时候总是忘记了写一下攻题过程，这里直接开始web-19的总结，已经到了自己写脚本的题目，python的学习刻不容缓，现阶段脚本还是参考的前辈们的代码（用了就得学会………）。一、尝试拿到网址，访问，‘我感觉你得快点！！！’，或许F5快一点刷新能出来flag（尝试总是没有错的，之前的一个题目确实是需要刷新），但是尝试过后无反应，F12以及查看页面源代码无flag信息...

Bugku CTF Web 解题报告（一）

qq_51090016的博客

01-24

1027

Web11-20题刚接触ctf的菜鸡，突发奇想写博客，想记录一下自己的写题过程。至于前面十题。。。我舍不得bugku的金币再启动一次场景，只好从11题开始。 Web 11 网站被黑了我擦，网站被黑了？？我一菜鸡哪会解这么高大上的题。打开题目一开，还搞得挺炫酷这咋办？鼠标右键点不了，F12一看也没啥。我这也太菜了，只好看看大佬怎么做，原来是要用御剑，只好照葫芦画瓢果然有了，访问下面这个看看盲猜123456。。果然不对。只好想到用bp爆破。可我还不会爆破啊。。只好搜一下教程现学现用。跟着大佬.

BugkuCTF练习题解——Web一

qq_41739275的博客

08-24

6579

文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸，好家伙，吓我一跳，还以为是大bug，然后也没有提示啥的感觉有点无从下手？？？别急，打开页面源代码（检查元素也可）瞅瞅注释部分就是flag了。 2.

bugkuctf——web（持续更新中）

qq_43705330的博客

04-11

285

1、计算器先把算出来的值填进去，发现无法填进去，然后看看原码吧把maxlength改为3即可，得到flag：flag{CTF-bugku-0032} 2、web基础_$GET 查看源码，发现什么都没有，在好好看看题目所给的代码分析这段代码，意思就是用GET方式获得变量what的值，当what的值为flag时，就打印出flag{}；因为$_GET传参时请求的参数是在url中的，所以我们...

BugkuCTF web3

鱼的博客

01-20

302

一直在不停弹窗，直接阻止。查看源码，在最后有一串Unicode编码。转换为ASCII码。 KEY{J2sa42ahJK-HS11III}

BugkuCTF-Web-web基础$_GET

烟雨天青色

12-09

478

首先呢，打开解题链接，发现是这样一段PHP的代码。这段代码是什么意思呢？看第3、4行，意思就是说，当变量$what的值为‘flag’时，打印flag。好，就让这样那我们就把链接放在浏览器里跑一下看看。。 en~flag就这样出来了，嘻嘻。...

bugku ctf web篇（一）

weixin_51387754的博客

08-26

519

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯” 。 ...

【BugkuCTF】Web--web2

VZZmieshenquan的博客

02-07

1099

Description: 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ Solution: 查看页面源代码，发现flag在注释里 Flag: KEY{Web-2-bugKssNNikls9100}

BUGkuCTF

bigbigworld666的博客

06-26

1388

BUGkuCTF （一）WEB （1）web2 进入环境，首先看源码，在里面直接找到flag [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97sg5F09-1593143273882)(file:///C:/Users/HP/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif)] （2）计算器首先输入数字发现只能输入1个，所以F12去修改源码，将maxlength修改，然后填入正确数字即可出现flag [外链图片转存失

bugkuctf

Vinson的博客

10-16

322

目录 web3 域名解析你必须让他停下变量1 网站被黑 web3 不断跳出弹框，用firefox可阻止，chrome没找到，查看源代码百度查出是Html特殊字符，在Html页面里可输出域名解析听说把 flag.baidu.com 解析到123.206.87.240 就能拿到flag C:\Windows\System32\drivers\etc找到hos...

bugkuCTF

YenKoc的博客

10-18

200

这题说实话我一脸懵逼，计网还没学的我，瑟瑟发抖，赶紧去百度。思路分析：涉及到域名解析，也就是dns服务，看了看writeup，都是修改host文件，百度了下host文件的作用，才明白了 host文件是作用是定义了本机上ip和域名之间的关系，一般当我们上网一时都是输入域名：www.xxx.com，会有dns服务器帮我们解析成ip，但是会先从host文件里面去找是否有映射关系，如果没有才会去拜托...

BugkuCTF 字符?正则?

08-11

BugkuCTF 是一个CTF（Capture The Flag）比赛平台，提供了一系列的网络安全挑战题目供参赛者解决。在这个平台上，参赛者需要利用自己的技术和知识，寻找并利用目标系统中的漏洞，获取相应的flag来得分。关于字符和...