CTF攻防世界web-新手区解题过程及使用工具

最新推荐文章于 2024-05-14 19:09:38 发布
最新推荐文章于 2024-05-14 19:09:38 发布
阅读量1.7w 收藏 83
点赞数 18
分类专栏: CTF-web 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45599193/article/details/108127429
版权

CTF攻防世界web-新手区解题思路总结及使用工具

作为一个新手小白,如果文章中有什么不错误或者不解的地方,还望谅解。(写了多少就更新多少啦)

(此博客是自己做题时的过程,中间有查找相关的资料以及大佬们的博客链接)

题目加载
点击图中方框进行加载,若加载不出来网址,刷新或将电脑重启。

第一题:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

在这里插入图片描述

观察题目:①查看网页源代码 ②鼠标右键禁止使用
解题思路:查看网页源代码的方法有两种:鼠标右键或键盘中的f12(或fn+f12)
题目中已经说明鼠标用不了,所以直接使用键盘打开源代码即可。
具体操作

在这里插入图片描述
点击跳转网页,按f12直接打开源代码在这里插入图片描述即可得到flag

第二题:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

在这里插入图片描述

观察题目:HTTP的两种常用请求方法
解题思路:对HTTP进行大致的了解,在 解题中常用的为GET和POST这两个请求方法
在这里插入图片描述解题工具:火狐浏览器:MaxHackbar(火狐插件,直接在火狐浏览器上搜索)

具体操作:第一步:安装插件,点击 添加到Firefox即可
在这里插入图片描述
第二步:①点击转跳网页
在这里插入图片描述

网页内容(直接说明用GET方式,,GET方一般为在url后拼接参数,只能以文本的方式传递参数。)
“统一资源定位符(URL)是Internet上标准资源的地址。URL指示资源的位置以及用于访问它的协议。互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的具体位置。”
在这里插入图片描述
②因此直接在http://220.249.52.133:34941/后进行拼接,根据提示加入 ?a=1
http://220.249.52.133:34941/?a=1(这里使用英文的问号?)
在这里插入图片描述

③根据提示再用POST法,用鼠标右键或f12打开如下图所示,这里出现了已经安装好的MaxHackbar,点击直接使用
1)在第一个方框内,将修改后的url复制粘贴
2)勾选Post Data,跳出第二个方框
3)在第二个方框中填入给出的信息:b=2
4)点击左边第三个框框,Execution,得到flag
在这里插入图片描述
在这里插入图片描述

第三题:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。

在这里插入图片描述
观察题目:Robots协议
解题思路:对Robots协议进行大致的了解https://www.cnblogs.com/sddai/p/6820415.html
在这里插入图片描述具体操作: robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。首先检查该站点根目录下是否存在robots.txt
1)观察url,发现没有robots.txt。直接进行添加
在这里插入图片描述2)f1ag_1s_h3re.php这个页面不允许被爬取,将url中的robots.txt删掉,加入f1ag_1s_h3re.php
得到flag

在这里插入图片描述

第四题:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!

在这里插入图片描述观察题目:备份文件
解题思路:常见的备份文件后缀名有: .git .svn .swp .~ .bak .bash_history
(备份文件名格式通常为文件+.bak)
具体操作
①点击跳转网页,得到问题,可得文件为index.php,则文件名为index.php.bak
在这里插入图片描述
② 1)在url中添加index.php.bak,回车

在这里插入图片描述
2)点击浏览,在里面选择使用工具(记事本即可)
在这里插入图片描述

3)在记事本中找出flag
在这里插入图片描述

第五题:X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗’

在这里插入图片描述
观察题目:cookie
解题思路:Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。
具体操作

1.跳转页面后,按F12,选择网络,点击第一行中的框框重新载入。
在这里插入图片描述2.点开第一行,在右边的响应头中(或点右边上面那行中的Cookie),发现“look-here=cookie.php”

在这里插入图片描述
3.在url中加上/cookie.php
在这里插入图片描述

4.F12–>网络–>cookie.php–>响应头 即可找到flag
在这里插入图片描述

第六题:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?

在这里插入图片描述
观察题目:前端、按钮
解题思路:需要对前端中各种标签有大概的印象(HTML标签及其属性
如:
在这里插入图片描述

具体操作
1.跳转页面,点击flag,发现按钮不能使用

在这里插入图片描述
2.F12打开工具栏,点击查看器后,将form action…展开,删除“disabled=”(在disabled处双击 ),刷新,点击页面中flag按钮

在这里插入图片描述
3.得到flag
在这里插入图片描述

第七题:小宁写了一个登陆验证页面,随手就设了一个密码。

在这里插入图片描述

Peppa _Peppa
关注
  • 18
    点赞
  • 83
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctfweb攻防工具-御剑1.5.7z
04-06
【御剑】是一款知名的Web安全扫描工具,常用于CTF(Capture The Flag)竞赛和网络安全检测。CTF是一种信息安全竞赛,参与者通过展示攻击与防御技术来争夺“旗标”,即获取或保护特定的信息资源。在这样的竞赛中,Web...
CTF show----web 解题笔记(web签到~web6)
dzqxwzoe的博客
02-02 2093
web签到题web2考查点:1.判断sql注入回显位置2.查当前数据库名称3.查看数据库表的数量4.查表的名字5.查flag表列的数量6.查flag表列的名字7.查flag表记录的数量8.查flag表记录值web3web4web5web6。
ctfflag
m0_53042636的博客
04-12 9926
1、http://106.52.39.144 用御剑和burp suite 来去到第二个flag ,操作步骤配截图。 先搜索一下网站 然后打开网站源代码 搜索他的zd.txt 得到第一个flag和字典,将字典复制出来,建立字典库 将其放在御剑1.5的配置文件中 用这个字典扫描这个网站 双击网站打开并下载这个tar文件。 ...
网络安全最全CTF-WEB攻防世界题目实战 每日一练,最新网络安全高级面试题汇总
最新发布
2401_84248681的博客
05-14 792
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
CTF基础知识”和“Web信息泄露”解题步骤
zwg147258369的博客
04-21 7339
CTF基础知识 一、CTF简介 1、打开题目 2、点击进入“题目附件”,寻flag,在文章末尾 二、竞赛模式 1、打开题目 2、点击进入“题目附件”,寻flag,在文档后部分 三、比赛形式 1、打开题目 2、点击进入“题目附件”,寻flag,在文档结尾处 四、题目类型 1、打开题目 2、点击进入“题目附件”,寻flag,在文档末尾 Web信息泄露 一、目录遍历 1、打开题目 2、点击开始寻flag 3、这是点击进入后的界面 4、根据看到的目录,逐个打开,直到在上层目录中到“
记一次院赛CTFWEB题(入门级别)
热门推荐
CTF小白的博客
04-14 2万+
目录签到一签到二口算小天才easy php录取查询我爱pythonSpring 这次院赛的题目比较基础,适合给刚入门CTF的小白提供一个大致CTF解题思路。(主要因为本人小白,表示能学到不少东西。) 签到一 题目中直接给了flag,提交就可以了。 签到二 这题主要考察的是基本的F12能力,查看网页源码,以及修改input输入框的长度。 口算小天才 这题通过题意,是需要让我们在1~3秒内回答...
CTFshow web入门——信息搜集
小元砸的博客
01-12 3937
web 1 题目:开发注释未及时删除 解题思路:ctrl+u查看源码即可得到flag web 2 题目:js前台拦截 === 无效操作 解题思路:打开可以看到 “无法查看源代码”的字样 但依然可以用ctrl+u的方法查看源码,即可得到flag web 3 题目:没思路的时候抓个包看看,可能会有意外收获 解题思路:F12查看一下响应头即可得到flag web 4 题目:总有人把后台地址写入robots,帮黑阔大佬们引路 解题思路:根据提示访问/robots.txt,会出现:"User-agent: * Di
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
F5-steganography图片隐写工具,带使用方法,内含CTF群及所有工具
11-29
F5-steganography图片隐写工具,带使用方法,内含CTF群及所有工具
CTF_Web长征路细刷题笔记
Mark的博客
01-06 4343
文件包含一、2018 XCTF FINALS —— babyphp二、 一、2018 XCTF FINALS —— babyphp 0x01信息收集 打开环境可以看到几个关键点,首先便是看到有两个可控变量 1: $_GET[‘function’] 执行函数 2: $_POST[‘name’] 可控制session值内容 其次又看到include($file);存在文件包含,ini_set限定了文件包含目录 最后可见call_user_func($func,$_GET)这个函
2021-01-31
m0_54628962的博客
01-31 1060
20210131CTF题目练习 1.web1:view_source 打开网页 因右键无法使用,想要查看源代码可以使用Ctrl+u来查看,或可以在地址栏前面加上view_source:来查看 即可得到flag值,如图 2.web2:robots 打开网页,在网址后加上robots.txt,查看文件里的内容 将文件中flag部分粘贴复制至网址后得到flag 3.Misc题目:this_is_flag 题目答案即题目描述后for example后面的内容 4.crypto题目:base64 点击附
WEB-CTF通关教程一
m0_50098640的博客
08-01 1378
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
CTF web 题型解题技巧-第一课 思路讲解
moRickyer的博客
11-26 4069
原定六月前学完的内容要延后了,先顾工作,后顾学习~对之前学习内容的总结:CTF web 题型解题技巧-第一课 思路讲解;之后会有关于CTF-WEB第二课、第三课等内容。 引用亮神的话: 如果你分享的内容过于真实,你就没有发表机会,你要完全假了呢,又没有读者去看,你可以在这个通道里,真一会儿假一会儿地往前走,最重要的还是要往前走。 ----Micropoor 侯亮大神说:知识的最高的境界是分享,而在我看来,我们在分享的同时也是对自我认知的一个提升。 image.png 以下内容大多是我在学习过程中,借鉴前人经
【BUUCTF刷题】Web解题方法总结(一)
Y1seco的博客
03-28 5152
文章目录1.堆叠注入,原理2.SQL缺省代码审计SQL注入 1.堆叠注入,原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么别么?别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FRO
网络渗透CTF实践:获取靶机Web Developer 文件/root/flag.txt中flag
yellowO的博客
12-27 4313
实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。(Dirb 是一个专门用于爆破目录的工具,在 Kali 中默认已经安装,类似工具还有国外的patator,dirsearch,DirBuster, 国内的御剑)截图。利用该插件可能存在的漏洞。pwd查看当前所在的目录,cd切换到/var/www/html目录下,ls查看当前目录下的内容,到wp-config.php文件。
CTF新手抓包flag
weixin_45435726的博客
05-24 1万+
项目场景: *** Bugku之web10头等舱*** 问题描述: 我是在bugku刷题,感觉非常适合新手! 打开网址之后是这个 原因分析: 查看源代码,发现根本没有任何线索… 根据评论大佬提示,需要用抓包 (555最终还是躲不过学抓包) 解决方案: 于是在csdn查了很多资料,在这直接放一个我觉得很清晰明了的来自某大佬的教程链接吧~超简单抓包教程 然后点击Proxy–>Intercept–>HTTP history 到题目的地址 最后点击Repeater,就能在服务器respo
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值