CTF-BUUOJ-《NIBOOK》(WEB入门)

最新推荐文章于 2024-02-05 20:15:52 发布
最新推荐文章于 2024-02-05 20:15:52 发布
阅读量407 收藏
点赞数 1
分类专栏: BUUOJ-CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51460355/article/details/115874191
版权

第一题:
题目是信息搜集,打开网页后,告诉我们信息搜集是很重要的,首先看了一下源码貌似没发现什么有价值的东西,所以应该从站点的路径去搜集,所以用御剑或dirseach等扫描发现,可以得到以下三个路径返回正常,robots.txt index.php~ .index.php.swp,这里拓展常见的备份文件:常见的备份文件后缀名有 .git .svn .swp .~ .bak .bash_history,
备份文件分为:
1、gedit备份文件,格式为filename,比如**index.php**
2、vim备份文件,格式为*.filename.swp或者.swo或者*.swn,比如.index.php.swp
3、robots.txt

用robots.txt访问后出现以下的界面
在这里插入图片描述
所以就访问/flag1_is_her3_fun.txt,界面如下:
注意把前面的robots.txt去掉注意把前面的robots.txt去掉,
所以得到了flag的第一部分,接下来访问第二个备份文件,
在这里插入图片描述
注意访问的后缀是不加点的哦,
最后访问.index.php.swp注意前面的点哦
在这里插入图片描述
找到了第三部分的flag,所以就凑出了所有的flag,

swu菜鸟一号
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Buuoj CTF Day01
qq_30015381的博客
12-20 108
Buuoj CTF Day01
[BUUCTF][N1BOOK][第一章 web入门]SQL注入-2(详细解析)
weixin_66146598的博客
06-09 5049
[BUUCTF][N1BOOK][第一章 web入门]SQL注入-2(详细解析),《从0到1:CTFer成长之路》书籍配套题目之sql注入。1、有的网站会开启错误调试信息方便开发者调试,可以利用报错信息进行报错注入2、updatexml第二个参数应为合法XPATH路径,否则会在引发报错的同时输出传入的参数3、dual用于测试数据库是否可以正常使用4、如果没有报错提示,可以bool注入...
BUUCTF--N1BOOK
m0_59022585的博客
07-09 733
尝试注入'and updatexml(1,concat(0x7e,(seLect group_concat(table_name) from information_schema.tables where table_schema='note'),0x7e),1)#将select关键字绕过,成功回显出表(fl4g和users)。注入'and updatexml(1,concat(0x7e,(seLect group_concat(flag) from fl4g),0x7e),1)#回显出flag。
BuuojCTF [WUSTCTF2020]level21和[HDCTF2019]Maze1
kevinhezhuzhu的博客
06-04 278
BuuojCTF [WUSTCTF2020]level21和[HDCTF2019]Maze1
buuojCTF [WUSTCTF2020]level11
kevinhezhuzhu的博客
05-20 252
下载文件发现有两个文件,其中有一个txt文件,里面有一些数字。 不知道是啥,把另一个文件拖进ida,很容易找到main函数。 int __cdecl main(int argc, const char **argv, const char **envp) { FILE *stream; // ST08_8@1 int result; // eax@7 __int64 v5; // rcx@7 signed int i; // [sp+4h] [bp-2Ch]@1 char pt
BUUOJ Fakebook
沐目的博客
10-22 561
关于源码泄露,我是真的懂的不多,而且刚开始发现有SQL注入,我以为就没了,但最后发现根本不是。 1.源码泄露 这题的关键点,就是找到源码,而找源码,就需要有好的工具(nikto)。存在robots.txt文件,里面有源码的路径。而再用御剑,发现falg.php文件。啥时候可以有一个完美的扫描工具。这还得扫两遍,谁能想的到! <?php class UserInfo { public...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-all-in-one
01-30
ctf-all-in-one
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
[BUUCTF]-N1BOOK-[第一章 web入门]粗心的小李
yzl_007的博客
09-06 704
[BUUCTF]-N1BOOK-[第一章 web入门]粗心的小李 打开题目,git泄露 用脚本跑一下 https://github.com/lijiejie/GitHack python2 GitHack.py http://5f7e45de-781e-480f-9316-5b11472ebba3.node4.buuoj.cn:81/.git 如上使用方法,将其泄露的信息下载下来 这里是有一个index.html文件 打开查看flag。这一段也说明了引起git泄露漏洞的原因 ...
BUUCTF N1BOOK [第一章 web入门]
Sk1y的博客
03-26 3603
sql盲注脚本 目录穿越 session伪造 源码泄露
[BUUCTF-N1BOOK]-【信息收集】[第一章 web入门]常见的搜集
羊柳树的博客
11-11 3041
项目场景: 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 问题描述: 提示:这里描述项目中遇到的问题: 例如:数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 APP 中接收数据代码: @Override public void run() { bytes = mmInStream.read(buffer); mHandler.obta
BUUCTF-N1BOOK(web1)学习分享
m0_63641882的博客
11-17 268
访问.index.php.swp使用记事本打开得到flag3拼接起来就可以了。使用GitHack工具进行访问下载index.html文件。访问得到一个txt文件的路径,访问得到半个flag。使用‘进行测试注入类型,发现有回显得知是字符型注入。在本地访问index.html得到flag。进行目录穿越../得到根目录,得到flag。发现flag字样的表进行查询表内的字段。访问index.php~得到flag2。得到flag字段,进行查询字段值。4.php伪协议的使用,目录穿越。使用php伪协议进行文件读取。
BUUCTF N1BOOK】[第一章 web入门] 通关
人若无名,便可专心练剑
02-05 1935
N1BOOK是Nu1L Team为方便读者打造的免费平台,读者可在上面享受书籍相关资源以及查阅勘误。
BUU-N1BOOK-Web
楼阁de猫的博客
12-11 981
web入门[第一章 web入门]常见的信息搜集[第一章 web入门]粗心的小李 [第一章 web入门]常见的信息搜集 考查知识点: 1.常规文件:robots.txt 2.gedit备份文件 3.vim备份文件 首先看robots.txt: 访问一下这个文件得到flag1 再看一下原始文件ihdex.php,发现什么都没有,之前用dirsearch扫了很多东西出来,试了/.git发现也不对,这里就看到书上讲到了gedit备份文件,它是以 ~ 为后缀的,试试index.php~,有东西了,拿到flag
BUUCTF-N1BOOK-WP
weixin_42782443的博客
04-05 1310
BUUCTF-N1BOOK-WP[第一章 web入门]常见的搜集粗心的小李SQL注入-1SQL注入-2afr_1afr_2afr_3[第二章 web进阶]SSRF Training死亡ping命令XSS闯关文件上传[第三章 web进阶][第四章 CTF之APK章][第五章 CTF之RE章][第六章 CTF之PWN章] [第一章 web入门] 常见的搜集 粗心的小李 SQL注入-1 SQL注入-2 afr_1 afr_2 afr_3 [第二章 web进阶] SSRF Training 死亡ping命令 XSS
N1BOOK第三关摸鱼:[第一章 web入门]SQL注入-1
weixin_45571987的博客
11-30 3195
BUUCTF:[第一章 web入门]SQL注入-1寻找注入点尝试注入测试有几个回显开始查库查表查字段flag 寻找注入点   由域名和题目的名字可以知道咱们这道题需要尝试对它进行SQL注入http://554314db-43b4-4f9d-b9bb-b6089db353a1.node3.buuoj.cn/index.php?id=1 ?id=1’ and 1=2 页面出现错误,说明存在注入点 id 尝试注入 测试有几个回显 ?id=1’ order by3 --+ 页面正常 ?id=1’ order
ctf-qsnctf此地无银三百
最新发布
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值