ctfshow web入门题解(一) web1-10

最新推荐文章于 2024-09-27 17:56:23 发布
最新推荐文章于 2024-09-27 17:56:23 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: 快乐ctf刷题 文章标签: 前端 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48604668/article/details/126004986
版权
本文介绍了ctfshow的十个Web安全入门题目,涉及源码泄露、前端拦截、PHPs文件查看、Git及SVN代码泄露、vim缓存信息泄露和Cookie安全等知识点。通过Ctrl+U查看源代码、利用Burp Suite抓包、访问特定文件格式及路径等方式,揭示了获取flag的技巧,并提醒在生产环境中注意安全防护。
摘要由CSDN通过智能技术生成

ctfshow web入门题解(一) web1-10

被带佬丢进坑里了,备考的时候顺便做做题目,就当放松了(

狗比套妈人拐进来自己跑掉,遇见他记得喊人贩子。

信息搜集

web1

知识点:
开发注释没有及时删除
ctrl u查看网页源代码可以发现flag 或者右键 或者f12

web2

碰到右键无法查看源代码的形式(js前端拦截)
快乐js
导致无法右键的就是这一串代码
事实上只要ctrl u 照样能进去
或者在url前面加上 view-source:
在这里插入图片描述

web3

BP的抓包模块基本用法(proxy)

不过这玩意你得在win10里面设个代理(至少chrome里是这样) 对了,开完记得关了,不然访问不了网站了

bp下载和安装使用详见其他大佬的教学

端口在127

最低0.47元/天 解锁文章
NeoGen
关注
专栏目录
ctfshow web入门题解(二) web11-20
weixin_48604668的博客
08-01 1430
ctfshow的vip题解 希望对各位师傅有所帮助
2024年CTFSHOW-Web入门题解(更新中)
2401_84252743的博客
05-01 590
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
CTFshow web1
weixin_45908624的博客
01-31 1267
ctfsow web web1
CTFshow信息搜集web1~web20详解
最新发布
m0_74312676的博客
09-27 717
下载文件打开,发现了一个网站地址和登录账号,尝试访问这个地址,结果访问不了,仔细查看地址中的,your-domain,发现是“你的网站地址”的意思。访问www.zip,下载压缩包,得到两个文件,查看fla000g.txt文件的内容,发现是flag,拿去提交,发现是错的,这个是假的flag。点击忘记密码之后发现有一个密保问题,问的是归属地是哪里,于是我们想到了题目提示的邮箱,通过邮箱查询qq号归属地,发现是西安。于是输入西安,就重置了密码,用重置的密码登录即可,用户名依旧是admin,拿到flag。
ctfshow-WEB-web10( with rollup注入绕过)
热门推荐
wangyuxiang946的博客
09-05 1万+
ctf.show WEB模块第10关是一个SQL注入漏洞, 点击取消按钮可以获取源码, 审计代码可以发现源码中存在漏洞, 推荐使用with rollup注入进行绕过, 此关卡过滤了空格,and等关键字 1. 过滤空格, 可以使用括号()或者注释/**/绕过 2. 过滤and, 可以使用or来代替 进来以后是一个登录界面, 盲猜是SQL注入漏洞 点击取消按钮可以获取这一关的源码, 下载到本地即可 源码中先根据用户名查询用户信息, 用户名通过以后, 再判断密码是否相同, 我...
ctfshow web入门——web1
m0_74093152的博客
01-28 88
ctfshowweb入门——web1
ctfshow之web入门1
夜未至
03-21 531
在开发场景中,开发人员会忘记将开发时的注释删掉,导致一些意外的问题( 如:getshell),但是在真实场景中基本上是不可能发生的。不过作为初学者应该去了解这些问题。
CTFshow web入门 web1
weixin_45990644的博客
07-06 269
CTFshow web入门 web1 这道题目比较简单,题目中有提到 “开发注释未及时删除” 点击连接后页面如下:按F12加入开发者模式查找注释(题目有提到),即可得到flag: 补充: 1.做题多看题目。 2.按F12是进加入开发者界面,主要功能简单来说可以帮助开发者调试js和根据页面元素快速定位,确认请求相应时间和相应内容等,根据内容进行程序调优用。 参考来源: https://www.bilibili.com/video/BV14y4y1J7Yb https://zhidao.baidu.com/qu
ctfshow web入门文件上传
m0_61448651的博客
01-12 713
ctfshow web入门文件上传
CTFSHOW-Web入门题解(更新中)
2401_84297944的博客
04-28 305
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。根据提示,我们禁用js。这里可以使用插件,javascript switch。以下题目均需要使用xss平台获取Cookie,这里为了学习演示只弹窗。script标签好像被过滤了,用img。提示js前台拦截 === 无效操作。过滤了img和script。因篇幅有限,仅展示部分资料。F12查看源代码即可。
CTFShow:萌新web1
weixin_64089259的博客
04-14 1114
第一次做web1题目,刚开始一脸懵逼,看了大佬的一些博客,才做出来,心里非常激动!
【ctfshow—web】——信息搜集篇1(web1~20详解)
练习时长两年半的CTF爱好者
02-22 3074
此题为 【从0开始学web】系列第二十题 此系列题目从最基础开始,题目遵循循序渐进的原则 希望对学习CTF WEB的同学有所帮助。
ctfshow-萌新-web10( 利用命令执行漏洞获取网站敏感信息)
wangyuxiang946的博客
09-10 1万+
ctf.show萌新模块 web10关,这一关考察的是命令执行漏洞的利用,闯关者需要知道3个以上PHP命令执行函数的使用,推荐使用passthru() 页面中展示了部分源码,并提示我们 flag 在 config.php 文件中 源码中过滤了 system,exec,highlight 这三个常用的PHP命令执行函数,绕过过滤条件就可以使用 eval() 函数执行PHP代码了,我们使用其他的命令执行函数即可,这里使用passthru()函数即可,先查看一下当前目录 ?...
CTF.show:萌新:web10
qq_46230755的博客
02-04 367
<?php # flag in config.php include("config.php"); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/system|exec|highlight/i",$c)){ eval($c); }else{ die("cmd error"); } }else{ hig
CTFSHOW web入门——web10
m0_74093152的博客
02-05 264
CTFSHOWweb入门——web10
CTFshow——web入门——信息收集web1-web20 wp
Leaf_initial的博客
07-11 225
CTFshow的web入门中信息搜集全篇
ctfshow-萌新-web1( 利用intval函数的特性获取敏感数据)
wangyuxiang946的博客
09-08 1万+
ctf.show 萌新模块的web1关, 这一关考察的是intval()函数转换字符串时的特性以及SQL的拼接绕过 这一关直接就给了源码, 并提示我们 id = 1000 时, 就是flag 先分析一下源码, 首先是 intval()函数将参数id转换为数值型, id > 999直接die()结束程序, 也就是说我们传递的id不能大于 999, 明知道1000就是flag, 但不能直接传1000, 否则程序会直接die()结束, 传递的id 即不能大于999, 又需要查询 1...
{CTFshow} 萌新web1 详解
lfc18950509270的博客
08-06 354
好家伙,直接明了,就是让我审计代码,看完发现,我们要用get方式提交,flag在id=1000,但是直接提交id=1000会返回错误,所以我们需要再添加一个id用来防止被拦截。没错,本来是这样的,但是我们查看id=2的内容的时候,发现为空,所以排序的时候id=2会排在后面,id=1000就变成了第一个(先看看id=1时它的内容,我们一定要仔细看它的sql语句,并且要掌握limit的用法:查完之后从小到大排序选前1个。这个时候就有问题了,从小到大的话,那前一个不是id=2的内容吗?讲一下我的理解,以供参考。
ctfshow web70
08-23
根据引用和引用,CTFShow的Web题目中的“ctfshow web70”是指Web题目中的第70个题目。具体的内容可能涉及到禁用了一些函数,并提供了一个POST数据包的POC示例。然而,关于题目的具体内容和解法原理,需要查看引用中的相关题解。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CTFshow web入门 web56~web70 命令执行](https://blog.csdn.net/qq_56815564/article/details/130219621)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [《CTFshow-Web入门》07. Web 61~70](https://blog.csdn.net/KeepPromise/article/details/130448475)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值