Ctfshow wed入门 wed4-10

最新推荐文章于 2024-05-12 22:52:25 发布
最新推荐文章于 2024-05-12 22:52:25 发布
阅读量2.8k 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58519918/article/details/121583150
版权

Wed入门

Wed4

  1. 打开后为 根据题目中的提示是总有人把后台地址写入robots,帮黑阔大佬们引路。所以是协议,具体我还没查,方法是构建upload输入robotstxt
  2. 之后画面改变 z之后改变url/flagishere.txt

Wed5

打开题目后画面与wed4相同,开头题目中提示“phps源码泄露有时候能帮上忙”上网对源码泄露进行查找。需要在后面添加index.php之后没有反应,在后加上一个s然后保存,用Notepad++来打开查看
之后得到flag。

Wed6

题目中提示“解压源码到当前目录,测试正常,收工”;

尝试在url后面添加www.zip常见的压缩包样式然后得到,一个压缩包,解压后得到了两个文件,。第一个打开后不对里面的内容。之后用Notepad++来查看第二个php文件。里面第一句应该是提示。将他加入到url后面。之后得到flag。

Wed7/8

题目提示“版本控制很重要,但不要部署到生产环境更重要。”
是版本控制这类题目中一般用两种
分别是在url后面添加/.git或/.svn。

Wed9(vim信息泄露)

题目中提示为vim信息泄露,解决方法为构建/index.php.swp,

得到的文件(vim非正常退出会产生交换文件透过交换文件可以得到)用notepadd++打开

Web10(cookie)

提示应该是查看cookie打开后首先按F12查看源代码,

之后在储存那里查看cookie的编码,

flag的编码还需要进行解码,在HackBar里就有

URL Decode里进行解码flag:"ctfshow%7B301b6805-db6c-4689-bb3c-75518074f0f4%7D"最后得到flag。

来摔锅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wed-job:wed-job是基于TBSchedule官方3.2.18版本的重置版。一个轻量级分布式任务调度框架,目前持续更新中,喜欢的同学欢迎关注^ _ ^
02-23
tbschedule-wed正式更称为wed-job并发布第一个正式版 基于TBSchedule官方3.2.18的重置版。TBSchedule具有框架轻,0入侵,效率高(高过elastic-job和xxl-job)等诸多特点,无奈官方于3.3.3.2版本后停止了升级与BUG...
java数据库连接-javawed
10-31
java后端,用德鲁伊连接数据库
CTF-信息收集篇
weixin_44770698的博客
06-22 2297
ctfshow-web信息收集部分WP
CTF-Web4(有人后台地址写入robots)
weixin_47059164的博客
08-21 122
知识点:本题主要考察项目静态文件robots.txt的内容,一些项目robots.txt会存放于页面。里面包含一些重要信息。
ctfshow-萌新-web4( 利用逻辑运算符绕过获取网站敏感信息)_ctf(1)
最新发布
2401_84281729的博客
05-12 861
萌新模块 web4关,这一关考察的是 intval()函数转换字符串的特性,以及SQL注入漏洞的绕过方式,源码中过滤了or,加减乘除(±*/),左右移,括号,|,select等关键字,我们使用短路逻辑或(||)来替替代 or 即可页面中展示了部分源码,提示我们 id=1000 时,即可获取flag首先分析一下思路,源码中过滤了参数中的 or - / * < >!( ) + select 等关键字,所以我们的参数中不能包含这些关键字,否则会直接 die;
CTF学习-PHPS文件泄露
JY_Heart的博客
03-08 1699
PHPS文件泄露
《CTFshow-Web入门》01. Web 1~10
学习学习学习......
11-18 2052
网页源码查看、抓包查看响应数据包、robots.txt 文件泄露、phps 文件泄露、网站备份压缩文件泄露、版本控制泄露、vim 缓存信息泄露、cookie 信息泄露
CFT-ctf.show-信息收集闯关
m0_37856131的博客
02-14 875
CFT-ftf.show闯关游戏
Wed, Windows Text Editor-开源
08-08
简单的程序员文本编辑器。 多个剪贴板、宏记录/播放、UNIX CR/LF 自动识别、巨型文件的干净编辑、无限撤消/重做自动保存、自动备份。 最低系统要求 - 将在任何地方运行。
Wed前端开发-Vue期末满分大作业
06-18
Vue期末考核满分大作业,该作业中包含的功能有切换天气,姓名案例,添加或删除风险地区的名称并以无序列表显示,以表单的形式添加或删除新冠感染者的基本信息并显示等,各部分功能在不同的盒子中,可以分离出来作为...
wed-class-git
05-11
【标题】:“Wed-Class-Git”是一个关于Git的课程资源包,主要针对周三的学习课程设计。Git是一款强大的分布式版本控制系统,用于跟踪对软件项目中文件的修改,它在IT行业中被广泛应用于协作开发和代码管理。 ...
【Ctfer训练计划】——(一)
Demo不是emo的博客
12-19 8700
Ctf每日刷题,带你从ctf小白到竞赛大牛,关注我来跟我一起训练吧,每日分享自己做的觉得比较有意义的题目,加油!
ctfshow(web入门
qq_62553635的博客
01-15 1621
第三题 根据提示直接bp抓包 发送到repeater查看响应包 得flag
CTFshow-Web入门-信息泄露
Atkx's Blog
03-26 3087
信息泄露WEB 1 源码泄露WEB 2 前台JS绕过WEB 3 协议头信息泄露WEB 4 robots后台泄露WEB 5phps源码泄露WEB 6 源码压缩包泄露WEB 7 版本控制泄露源码WEB 8 版本控制泄露源码2WEB 9WEB 10WEB 11WEB 12WEB 13WEB 14WEB 15WEB 16WEB 17WEB 18WEB 19 前端密钥泄露WEB 20 信息泄露 WEB 1 源码泄露 题目描述:开发注释未及时删除 查看源代码,得到flag WEB 2 前台JS绕过 题目描述:js前台.
ctfshow-web4(文件包含&日志注入)
Welcome To Myon'Blog !
10-08 1211
Nginx中的日志分两种,一种是error.log,一种是access.log。中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。对于Ngnix,日志存放路径:/var/log/nginx/access.log 和 /var/log/nginx/error.log。进入后台,找到flag。
ctfshow-web4
HAI_WD的博客
08-04 595
默认nginx日志是:/var/log/nginx/access.log,可以看到记录了请求。那么我们就可以修改ua头进行代码注入,如果存在ssh连接的话,用ssh日志也可以。然后cat一下获取到flag。
ctfshow-WEB-web4
热门推荐
wangyuxiang946的博客
08-20 1万+
ctf.show WEB模块第4关是一个文件包含漏洞,页面提示了源码中的关键代码,使用include()函数接收url参数,include()函数包含的文件会被执行,从而造成任意代码执行,或者配合伪协议获取敏感文件甚至getshell; 然而这一关伪协议不起作用,我们可以通过日志注入进行任意命令执行,从而getshell 页面最明显的位置展示了源码的核心,提示我们利用文件包含漏洞 包含日志文件,查看日志文件的信息,可以看到日志文件中保存了网站的访问记录,包括HTTP请求行...
CTFSHOW系列-web4(信息收集-robots.txt文件)
siu~
11-23 494
CTFSHOW系列解题思路
CTFshow web4 详解
lzu_lfl的博客
10-15 2347
日志写码getshell
$s1 = 'Mon-Tue-Wed-Thu-Fri-Sat-Sun'; 使用函数 返回由字符串组成的数组
05-25
$s1 = 'Mon-Tue-Wed-Thu-Fri-Sat-Sun'; $arr = explode('-', $s1); print_r($arr); ``` 运行结果如下: ``` Array ( [0] => Mon [1] => Tue [2] => Wed [3] => Thu [4] => Fri [5] => Sat [6] => Sun ) ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值