[web入门]afr_1

最新推荐文章于 2024-10-03 20:11:28 发布
最新推荐文章于 2024-10-03 20:11:28 发布
阅读量314 收藏
点赞数 12
分类专栏: CTF比赛WP 文章标签: 网络安全 web安全 文件包含 CTF比赛题目 CTF入门 php伪协议 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73049307/article/details/141989685
版权

开启ctfhub靶场,打开链接:

看到/?p=,了解到是GET型的p参数

先直接构造payload看看能不能直接获取到flag:

/?p=php://filter/convert.base64-encode/resource=flag

(一般是flag或者flag.php)

去base64解码网站中解码得到flag:

n1book{afr_1_solved}

南暮思鸢
关注
专栏目录
[第一章 web入门]afr_1
2202_75361164的博客
03-30 409
【代码】[第一章 web入门]afr_1。 - 使用php://filter伪协议读取源码 payload ?p=php://filter/read=convert.base64-encode/resource=flag
BUUCTF[第一章 web入门]afr_1
hivjianxian的博客
11-22 560
ctf题解
BUUCTF [第一章 web入门]afr_1
woshicainiao666的博客
08-21 302
题目告诉我们是任意文件读取,看到?p=hello 我们将hello换成flag,得到下图。我们想到利用php伪协议看源代码有没有隐藏信息。将源代码以base64的形式输出。然后解码得到flag。
[第一章 web入门]afr_2
qq_43618536的博客
07-24 706
[第一章 web入门]afr_2
[第一章 web入门]afr_1 解题思路
xiyuanyue的博客
10-10 186
1、通过dirsearch 扫描,发现存在flag.php和index.php。/* 这会以大写字母输出 www.example.com 的全部内容 *//* 这会和以上所做的一样,但还会用 ROT13 加密。index.php 文件内容自动跳转到/?2、通过伪协议读取内容。flag.php 内容。
[第一章 web入门]afr_31
evil_ming的博客
05-07 633
这个flag设置的真是防君子不防小人啊,因为刚做完2的看见2的flag很有灵性n1book{afr_2_solved} 把2改成3提交就直接成功了,感觉比赛的时候不会这么好运那还是写一下吧。 打开靶机 习惯先提交个admin 点击article 通过url里发现的name参数来获取系统命令 name=../../../../../proc/self/cmdline 上网查了下 name=../../../../../proc/self/cwd/server.p...
[第一章 web入门]afr_21
evil_ming的博客
05-07 366
打开靶机 😅阴兵哈😅 yysy作为小白打开题目不知道要干嘛第一步先f12就对了 因为是img文件夹里有个gif图片就输入进url看看 输入img..进行目录穿越。 点开flag文件夹 下载后用记事本打开得到flag。 over. ...
BUUCTF[第一章 web入门]afr_2
hivjianxian的博客
11-22 841
ctf题解
[第一章 web入门]afr_3
2202_75361164的博客
04-04 867
任意文件读取,session伪造+ssti。 可以发现secret_key在key.py,flag在flag.py里面 并且,/n1page路由下面有ssti注入,注入的数据刚好是session
BUUCTF第一章 web入门]afr_3
qq_51558360的博客
03-03 3813
本题考查对linux系统中/proc/目录下文件作用的了解,同时考查了flask模板注入 关于/proc/目录 Linux系统上的/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。 /proc/[pid],当查看当前进程的时候可以用/proc/self代替 cmdline — 启
BUU-N1BOOK-Web
楼阁de猫的博客
12-11 1194
web入门[第一章 web入门]常见的信息搜集[第一章 web入门]粗心的小李 [第一章 web入门]常见的信息搜集 考查知识点: 1.常规文件:robots.txt 2.gedit备份文件 3.vim备份文件 首先看robots.txt: 访问一下这个文件得到flag1 再看一下原始文件ihdex.php,发现什么都没有,之前用dirsearch扫了很多东西出来,试了/.git发现也不对,这里就看到书上讲到了gedit备份文件,它是以 ~ 为后缀的,试试index.php~,有东西了,拿到flag
《从0到1:CTFer成长之路》书籍配套题目-[第一章 web入门]任意文件读取漏洞
weixin_46703850的博客
02-23 1528
《从0到1:CTFer成长之路》书籍配套题目,来源网站:[《从0到1:CTFer成长之路》](https://book.nu1l.com/)
【N1BOOK】[第一章 web入门] wp
{OvEr}的博客
11-25 4378
【N1BOOK】[第一章 web入门]常见的搜集 wp 打开页面就是这样的 我们用扫一下目录得到这三个返回正常robots.txt index.php~ .index.php.swp 扫目录工具dirsearch/御剑,这里我用的是dirsearch。 我们一个个访问一下, 他说flag在/flag1_is_her3_fun.txt,那我们就访问一下 得到第一半flag,继续访问 index.php~ 得到第2半flag,继续访问 .index.php.swp,打开文件 发现第3半flag ..
HTML入门
weixin_46380798的博客
03-22 1205
一.HTML简介 1.HTML是什么? HTML:hyper text markup language超文本**标记(标签)**语言 由各种标签组成,用来制作网页,告诉浏览器该如何显示页面 案例: <html> <body> <title>HTML</title> </body> <body> 大家好 <...
HTML入门笔记(带源文件)
chaosir_c的博客
02-25 1666
一、HTML简介 1.HTML是什么? HTML:hyper text markup language超文本标记(标签)语言 由各种标签组成,用来制作网页,告诉浏览器该如何显示页面 <html> <body> <title>html技术</title> <body> <body> 大家好! <body&g...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8491
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 1921
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
个人网络安全的几个重点与防御
最新发布
nn_84的博客
10-03 425
2 防火墙 大家都用windows 只需在 gpedit.msc 设置 但有什么未知漏洞就不得而知了 因为美国的计划问题。1 浏览器 firefox 这是第一选择 如果你真的不明白可以找找各个浏览器漏洞。3 移动设备带来的危害 比如u盘 等 对于你们认为杀毒可以 那免杀还干吗呢。网络端口溢出漏洞 但防火墙和随机地址的原因 已经可以防御。提权 这是以后遇到的问题 有些漏洞不是随机地址能够阻止。mail 的危险的 来自与代理和漏洞。浏览器溢出漏洞 实时注意更新就可以。
Web安全 - 文件上传漏洞(File Upload Vulnerability)
小工匠
10-02 1832
文件上传漏洞是指Web应用允许用户上传文件,但没有对上传文件进行充分的验证和限制,导致攻击者可以上传恶意文件,如脚本、恶意代码等,进一步执行恶意操作。这种漏洞常见于文件管理、头像上传或文档管理等功能中。路径穿越结合文件上传:绕过文件上传目录限制,访问或执行敏感位置的文件。远程代码执行(RCE)结合文件上传:通过上传并执行恶意文件实现远程控制。跨站脚本(XSS)结合文件上传:通过文件传播恶意脚本,跨站点执行攻击。跨站请求伪造(CSRF)结合文件上传:在不知情的情况下诱使用户上传恶意文件。
AFR_FSDK_FACEMODEL
11-10
AFR_FSDK_FACEMODEL是虹软人脸识别SDK中的一个结构体,用于存储人脸特征数据。该结构体包含两个成员变量:pbFeatur和FeaturSiz。其中,pbFeatur是一个指向人脸特征数据的指针,FeaturSiz是人脸特征数据的长度。通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值