合天网安 在线实验 CTF竞赛 writeup(第一周 | 神奇的磁带、第二周 | 就差一把钥匙、CTF-WEB小技俩、第三周 | 迷了路、第四周 | Check your source code)

最新推荐文章于 2022-11-28 12:07:01 发布
最新推荐文章于 2022-11-28 12:07:01 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: ctf 文章标签: ctf web
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/121478094
版权
最低0.47元/天 解锁文章
shu天
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
实验室暑期CTF训练赛--第一周
AlienEowynWan的博客
07-20 479
只做了MISC和RE 题目和部分需要的工具链接: MISC MISC2 打开文件发现有一个音频,一个文件,文件记事本打开写着 H4vFunWTHthisMP3 一个音频加一串密钥的方式,所以使用MP3Steno 将音频放入MP3Steno的文件夹 cmd打开,输入命令 生成txt文件,打开有一串字符,包上flag即可 flag是:flag{07715d8b6390495daa744cc22a62e2ef} timg_IN 只有一张图片,binwalk扫了一下没有隐藏两张,发现也没有改长度和高度 使用
005-CTF web题型总结-第五课 CTF WEB实战练习(一).pdf
07-09
005-CTF web题型总结-第五课 CTF WEB实战练习(一)
ctf练习之Check your source code
SDM_JH的博客
08-07 995
一、进入目标站点,查看源代码,发现可能存在source.txt文件 二、找到source.txt文件,发现如下判定,说明只要用户为admin密码不为admin且cookie适就可以登录,最后一行设置了cookie。 三、打开burp suite并设置代理,可以看到如下cookie,将ahash的值进行base64解码,得到:88adminadmin,所以由cookie的构造(上面的setcookie函数)可知,secret对象的值为88. 三、构造cookie值,base64编码的88+admin+
天每周CTF第二周-就一把钥匙
m0_52920608的博客
01-31 393
天每周CTF第二周-就一把钥匙 1.题目描述 1)进入实验环境,照例查看页面源代码,未发现提示信息: 2)查看robots,得到提示信息: 3)进入该目录查看,发现要求使用指定ip进行访问: 4)4)利用IP地址欺骗X-Forwarded-For,浏览器设置代理,burpsuite拦截并进行改包,加入XFF请求头,找到flag: ...
CTF第一周神奇磁带
m0_52920608的博客
01-31 365
CTF第一周神奇磁带 1.题目描述 1)进入实验环境,查看源代码: 2)查看Flag.txt文件: 3)更换思路,因为页面包含搜索框,尝试提交请求抓包分析,为浏览器设置本地代理,使用burp suite拦截: 4)发现cookie值为base64编码,发送到decoder进行解码: 5.将抓到的包发送到repeater,便于改包: 6)将解码得到的字符串重新提交,得到进一步提示: 7)根据提示猜到谜底为磁带,英文为tape,重新提交: 8)在浏览器中输入新的flag路径: 9)
天每周CTF第一周-神奇磁带
xxhjtc的博客
08-30 1251
1.题目描述: 1)进入实验环境,查看页面源代码: 2)根据提示,查看Flag.txt文件,将页面保存到本地,发现为错误信息: 3)更换思路,因为页面包含搜索框,尝试提交请求抓包分析,为浏览器设置本地代理,使用burp suite拦截: 4)发现cookie值为base64编码,发送到decoder进行解码: 5.将抓到的包发送到repeater,便于改包: 6)将解码得到的字符串重新提交,得到进一步提示: 7)根据提示猜到谜底为磁带,英文为tape,重新提交.
四周check your source code
weixin_51325893的博客
11-28 468
使用火狐浏览器打开10.1.1.147:5004的web界面 ,我们可以发现这是一个后台登录界面。username必须是admin,密码随意填(后面通过bp抓包,进行编码,修改)抓包后可以看到cookie ahash值 但是没有cookie的check值。check的值是secret编码加username加password。username和password提交的值需要是URL编码。二话不说,我们先查看一下源代码,看一下有没有价值的信息。bp有自带的编码模块,也可以自己寻找工具。check的值不能为空
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF全大赛必刷题
网络全管理职业技能竞赛Web writeup_天网学院-程序员宝宝 - 程序员宝宝1
08-03
网络全管理职业技能竞赛 Web writeup 本文将围绕网络全管理职业技能竞赛 Web writeup 进行详细的知识点讲解。 网络全管理职业技能竞赛 Web writeup 介绍 网络全管理职业技能竞赛 Web writeup 是一个关于...
河南省网络全高校战队联盟CTF训练营-web文件上传第一期
04-22
河南省网络全高校战队联盟CTF训练营-web文件上传第一期 脚本及工具
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
实验CTF实践
weixin_62599268的博客
11-21 352
实验CTF实践
神奇磁带
bronze_s的博客
08-18 874
打开实验环境 审题这是一个web题,打开指导书 目标为10.1.1.147:5001,使用浏览器打开这个地址,可以看到一个web页面。 右键查看源代码,可以看到最后一行存在一个flag.txt文件
天网《Weekly CTF》第四周
qq_45628145的博客
04-24 957
Check your source code 题目介绍 打开靶机,进步网站,是一个登陆框 首先,根据题名的提示,f12,发现存在source.txt 打开source.txt,出现源码 对源码进行分析 <?php $flag = "XXXXXXXXXXXX"; $secret = "xx"; if(!isset($_ POST["username"]) || !isset($_ P...
天每周CTF学习笔记 — 神奇磁带
weixin_44350049的博客
10-22 967
思路 整体思路是借助提供的提示。 1、查看页面源码 根据实验指导书说明,首先访问攻击的网页,并查看源码。 2、查看源码中的提示 直接访问URL, 下载发现只是个假提示。。。 总结
天 第四周 Check your source code
m0_52920608的博客
02-07 458
Check your source code 题目描述:目标机:Centos7 IP地址:10.1.1.147:5004 攻击机:Kali IP地址:随机分配 要求:获取目标flag 提示:flag格式为flag{} 1.登陆该网站(10.1.1.147:5004),查看源码: 2.代码注释这里发现了一个叫做source.txt的文件。我们打开这个文件看看。 3.试图理解这些代码,百度PHP: 1)isset():作用是检查变量是否设置,并且不为null,加个!,表示取反的意思。
天网实验十一:CTF-WEB技俩
menghuangjh的博客
09-19 400
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200919161451529.png#pic_center) 看到这个首先想到xss注入,然后试了一下<script>alert(1)</script> ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200919161708662.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shado
天-神奇磁带
浅时光-Trister
08-18 140
CTF-WEBWEB伎俩 _CTF自学纪实
CD's Coding
06-04 6646
CTF
请教我ctf竞赛web方向的知识
最新发布
07-15
CTF 竞赛中的 Web 方向主要涉及到 Web 全的相关知识和技术。以下是一些常见的 Web CTF 题目类型和相关知识点: 1. 基础知识: - HTTP 协议:了解 HTTP 请求和响应的基本结构,常见的 HTTP 方法和状态码,以及常用的请求头和响应头。 - HTML、CSS 和 JavaScript:理解基本的前端开发知识,包括页面结构、样式和交互等。 2. Web 漏洞: - XSS(跨站脚本攻击):了解反射型、存储型和 DOM 型 XSS 攻击,学会如何防范和利用这些漏洞。 - CSRF(跨站请求伪造):掌握 CSRF 攻击的原理和防御方法。 - SQL 注入:了解 SQL 注入的原理、不同类型的注入攻击和防御策略。 - 文件上传漏洞:学会利用文件上传漏洞执行恶意代码,并了解如何防止上传漏洞。 - 文件包含漏洞:了解文件包含漏洞的原理和利用方式。 - SSRF(服务器端请求伪造):掌握 SSRF 攻击的原理和应对方法。 3. Web 全工具: - Burp Suite:熟悉使用 Burp Suite 进行请求拦截、修改和重放,进行 Web 全测试。 - SQLMap:学会使用 SQLMap 进行自动化的 SQL 注入漏洞检测和利用。 - XSS 攻击工具:了解常用的 XSS 攻击工具,如 BeEF、XSStrike 等。 4. Web 框架和技术: - 常见的 Web 框架:了解常见的 Web 框架(如 Django、Flask、Express 等)的基本原理和全特性。 - NoSQL 注入:了解 NoSQL 数据库中的注入漏洞和防御策略。 - RESTful API 全:学习如何保护 RESTful API 免受常见的攻击,如身份验证、访问控制等。 除了上述知识点,还可以通过参加线上的 CTF 竞赛、阅读相关的 Web 全文章和书籍来不断提升自己的技能。希望这些信息能对你有所帮助!如有更多问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值