ctf_web

最新推荐文章于 2024-09-07 15:09:14 发布
最新推荐文章于 2024-09-07 15:09:14 发布
阅读量960 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wushilongwu/article/details/52777239
版权

1.题目链接 点击打开链接

打开链接,要求输入密码,随便输入一个,提示错误。首先查看源代码,里面有一段js代码:


 

要求输入值与a值相等。打开网页的控制台,贴入代码求出a的值,

得到key。(math.floor(a)对a向下取整)


2.题目链接 点击打开链接

点击链接,显示不能连接服务器,确保你在HongKong。

看链接上面有header,应该是要抓包改包。

用brupsuit进行抓包。

burpsuit里面,proxy->intercept is on,刷新链接,就能抓到包。抓到包后,点击Action,Send to repeter(中继器,可以

修改请求并发送)。要确保自己在香港,就要对语言进行修改,改为zh-hk,然后点击go,就能看到key。


3.题目链接 点击打开链接

打开链接后有一个url:http://www.test.com/NodeMore.jsp?id=672613&page=2&pageCounter=32&undefined&callback=%2b/v%2b%20%2bADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKAAiAGsAZQB5ADoALwAlAG4AcwBmAG8AYwB1AHMAWABTAFMAdABlAHMAdAAlAC8AIgApADwALwBzAGMAcgBpAHAAdAA%2bAC0-&_=1302746925413

后面有%这样的字符,应该是使用了escape(所有的空格符、标点符号、特殊字符以及其他非ASCII字符都将被转化成%xx格式的字符编码),使用unescape对后面的字符串解码。利用在线解码网站点击打开链接进行解码

解码完之后,callback后面的一段字符串还是乱的编码,应该还进行了什么编码。在解码网站一个一个试,用

UTF-7 Decode解码出来了,里面有key值。

wushilongwu
关注
CTF总结-WEB
qq_42747131的博客
05-12 2136
WEB知识点整理 常见的备份文件格式:.git .svn .swp .svn .~ .bak .bash_history 比如主页文件是index.php,那么它的备份可能就是index.php.bak,此时直接作为url输入即可下载备份, 如[ www.baidu.com/index.php.bak ](然而百度的并不能) robots协议:参考博客 cookies、会话:参考博客1、参考博客2 GET转POST:参考博客 主要是记住这句话 Content-Type: application
题解:ctf473831530_2018_web_virink_web71
qq_62886656的博客
06-13 670
题解:ctf473831530_2018_web_virink_web
CTF web总结
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇就够了!
最新发布
2401_82672634的博客
09-07 1693
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。MISC(安全杂项)
CTF WEB总结
热门推荐
夏日 の blog
02-06 11万+
1.http协议报头 使用referer字段来伪造来源 问:某些页面要求你必须要通过http://www.xxxx.com进行访问? 答:增加一个referer字段 Referrer:http://www.xxxx.com (题目要求的url) 使用X-Forwarded-For来伪造ip 问:题目要求必须是某个ip地址如1.1.1.1,才允许访问。 答:增加一个X-Forwarded-For字...
CTF总结之WEB
醉等佳人归
06-06 439
文章目录1.工具2.信息收集类解题3.前端代码类解题4.HTTP协议类解题5.SQL注入攻击5.1.经典万能密码6.文件上传漏洞6.1.文件上传流程和上传攻击6.2.WebShell 1.工具 火狐浏览器,HackBar,BurpSuite 2.信息收集类解题 信息收集的题目考题一般是收集关于目标网站的信息,如前端页面提示与HTTP源码、返回包请求包信息、网站路径文件等,根据这些信息分析得到flag。简单的题目是直接在源码中就可以获取到flag,复杂些的需要深入收集信息。 3.前端代码类解题 前端代码的题
CTF|WEB学习总结
weixin_43340821的博客
08-07 1512
目录SSHSMB信息泄露FTP服务后门利用Capture the Flag SSH GET -从指定资源请求数据:用GET给后端传参的方法:在?后跟变量,不同变量之间用&隔开 POST- 从指定资源提交要被处理的数据 robots.txt:爬虫协议文件:存放于网站根目录下的ASCII编码的文本文件,存放不允许搜索引擎探测和允许探测的文件名 信息探测 渗透:针对服务器的漏洞探测,进行对应数据包的发送,获取机器最高权限。‘ – nmap -sV 靶场IP地址 挖掘开放服务信息 探测靶场开放的服务与服务
一套简单的ctf_web源码环境.zip
10-02
【标题】:“一套简单的ctf_web源码环境.zip”揭示了这是一个包含CTF(Capture The Flag)网络安全竞赛中Web挑战的源代码环境。CTF比赛是网络安全领域的一种学习和竞技方式,参与者通过解决各种安全问题来获取“旗标...
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
web_chinaz 为应用文件名称,10表示要生成的队伍数量 start.py python start.py 10 启动10个实例,以及check和flag服务。 stop_clean.py python stop_clean.py 暂停所有服务,并删除临时文件 注意,这里会删除所有现...
ctf_vm.zip
05-15
CTF(Capture The Flag)VM(Virtual Machine)详解】\n\nCTF,全称为“Capture The Flag”,中文常译为“夺旗赛”,是一种网络安全领域的竞技活动,旨在通过解决各种安全挑战来提升参赛者的技能。CTF VM,即在...
BUUCTF[ctf473831530_2018_web_virink_web]
qq_62078839的博客
06-12 831
文件存储路径就是md5(orange.ip)限制字符写shell 参考文章CTF-web 第十三部分 命令注入 成功写入shell通过上面的脚本写入shell,连上蚁剑 看一下主机信息 这里并没有看到内网ip,换个姿势 试了一下这里面的ip都没有开放端口,再经过Article_kelp师傅的帮助下,扫描到了ip 9000对应php-fpm,873对应nsync我们可以自己构造fastcgi协议,和fpm进行通信参考文章Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp
ctfweb题型总结大全(例题wp都有)
04-17
欢迎关注hacking水友攻防实验室,更多内容都在微信公众号
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
CTF web安全经典例题讲解
10-22
该内容为CTF赛题web安全经理例题讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种题型讲解,图文结合,适合新手学习。
CTF 入门指导教程
12-04
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
CTF从入门到提升教学视频
01-28
CTF能够锻炼选手对一些漏洞的理解能力,对安全研究、渗透测试也有一定的作用。越来越多的企业招聘安全从业人员时都会对CTF有一定的要求。
CTF WEB套路总结
2301_79880725的博客
01-28 1040
----+----------+----------+ | id | username | password | +----+----------+----------+ | 1 | 2 | 3 | +----+----------+----------+ 1 row in set (0.00 sec) #大小写绕过。strcmp(str1,str2):若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回 -1,其它情况返回 1。
CTF web总结--sql注入
bob的博客
08-30 1623
<?php include "common.php";if (isset($_POST["name"])){ $name = str_replace("'", "", trim($_POST["name"])); if (strlen($name) > 10){ echo("<script>alert('too long')</script>"); }else{ $sql
CTF——web个人总结
recover517的博客
05-28 1万+
包含个人总结的解题思路、注入思路、文件包含思路、源码审计思路等
ctf.show_web5
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个字符串,使得它的md5值以0e开头,然后将这个字符串作为v1和v2的值传递即可。在PHP中,当字符串以0e开头并且后面跟着一串数字时,PHP会将这个字符串解析成科学计数法的形式,因此可以绕过is_numeric()函数的检测。而ctype_alpha()函数只检测字符串中是否仅包含字母,不会对字符串进行其他处理,因此不会受到0e漏洞的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值