【CTF】web新手练习12题

已于 2022-10-01 11:32:58 修改
阅读量1.1k 收藏 6
点赞数 1
分类专栏: CTF 文章标签: web安全
于 2022-10-01 11:20:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wxwxwxww/article/details/127132675
版权

1.【已完成】web新手入门(12/12)
攻防世界-WEB新手练习区
工具 burp chrome的proxy插件 两个合起来用; 中国蚁剑 webshell

1.view-source

    右键查看不了源码
        方法1:地址栏输入view-source:
        方法2:python requests.get(url).text

2.get_post

    burpsuit+chrome:proxy switchyomega
    burpsuit-repeater-change method

3.robots

    robots协议:给搜索引擎看的txt文件,告诉它哪些可以爬,哪些不可以爬
    /robots.txt 找到flag
    还可以用御剑扫

4.backup

    用御剑扫,看到.bak了
    打开下载的内容 拿到flag

5.cookie

    控制台document.cookie,拿到指示进cookie.php,根据指示看response,拿到flag

6.disabled_btn

    f12元素直接删掉

7.simple_js

    查看源码,发现糊弄人的,看到一个字符串=,拿到py里直接跑出来一个数组,把这些转成chr就看到flag了

8.xff_referer

    xff 记录用户真实ip,可伪造
    http referer,是header的一部分,用于告诉服务器该网页是从哪个页面链接过来的
    burp抓包,然后sent to repeater,伪造XFF和Referer

9.weak_auth

    先尝试admin root等
    burp暴力破解
        1).burp打开intercept on,乱输网站提示用户名,随便输点东西然后回车,burp收到了,然后burp邮件sent to intruder
        2).intruder-pauloads导入github找的密码字典(这里用的常用中文10000个) star attack,成功的长度(437)和不成功的不一样
            注意:不需要匹配的记得clear,只add需要匹配的如pwd

10.webshell

    直接用中国蚁剑

11.command_excution

    waf:应用层防火墙
    尝试;& | || &&  id等看有没有waf,如果返回结果说明没有
    可以使用;find / -name "flag*"搜索有没有想要的文件,cat查看文件,拿到flag

12.simple_php

    php弱类型:==会把字符串转成相同类型再比对,===强匹配
    ?a=ddd&b=5555a ,a会自动转成数值0,b加个a主要是为了绕过判断是否为数值的代码
xiaomaoyuww
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfCTF理论考核及答案
07-05
ctf
2021-06-24CTF-攻防世界-WEB新手练习区(12入门
u258710的博客
06-24 2523
CTF-攻防世界-WEB新手练习区(12入门)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 目提示查看网页源代码,但鼠标右键不管用
CTF初学笔记-web新手目(附学习资料)
最新发布
2301_77472496的博客
04-28 815
CTF大赛, 俗话说“兵马未动,粮草先行”,打CTF手里的武器工具少不了。
【和小白一起练习CTF】攻防世界:web基础练习(1)
xtcc的博客
08-07 3209
robots.txt文档记录了不应该被搜索引擎的漫游器获取的东西 ,它一般放在根目录下,搜索引擎搜索这个网站时,首先访问这个robots.txt,如果它存在,那就按照它上面写的,不允许访问的页面就不访问,如果它不存在,那搜索引擎就可以查阅所有没有口令保护的页面。:打开网页之后,发现有个按钮,但是点击不了,这时按下F12,打开开发者工具,修改网页源代码,去掉disabled,按钮就可以点击了,这时就出现了flag。:这道目是要我们了解一下网页的备份文件,在了解之后就可以轻松解决这道目,下面先介绍一下。..
ctfshow新手杯(web
m0_62422842的博客
10-07 2324
前天ctfshow举办的新手杯,里面的部分web对于我来说还是有必要记录一下的。里面的大师傅都太强了。还有最后一道web,看了官方wp,有种本能的抗拒。这种涉及的知识点超出了我的学习范围。还得继续积累知识,向大师傅们学习。
新手上手ctf web简单小教程 第二弹
2301_79817291的博客
10-27 221
总结:可以查看源代码,运用hackbar插件,在当添加需要的条件,还可以运用抓包,改变请求方式,利用域名修改网址。2.点击hackbar,再点击load url将该网址放进第一个框中,勾选post data。3.再第二个框里输入what=flag,最后点击execute,就可得到。2.运用x_forward_for 域名,加入需要网址。根据目可知,需要参数what=flag.3.如需要特定浏览器,则添加referer。2.把admin=0改成admin=1。1.右击鼠标,检查源代码。
CTF-入门练习
10-30
这个“CTF-入门练习”很可能包含了一系列这样的挑战,旨在帮助初学者提升在网络安全领域的技能。 【网络攻防】 网络攻防是CTF中的核心部分,涉及攻击者与防御者的对抗。攻击者可能试图寻找系统漏洞,进行SQL注入...
CTF库超详细资源合集
06-14
在传统的CTF线上⽐赛中,Web⽬是主要的型之⼀,相较于⼆进制、逆向等类型的⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问,不需具特别强的编程能⼒,故⼊门较为容易。Web⽬常见的漏洞类型...
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctfhub web全部做记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全来获取“旗标”(代表分数),这些问通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全Web安全是网络...
ctf网络安全攻防练习
12-04
总的来说,这个CTF练习融合了计算复杂性理论、隐写术、二进制分析和文件格式理解等多个网络安全领域的知识点,旨在挑战和提升参赛者的综合技能。解过程中,耐心、细致和创新思维是至关重要的。通过这样的练习,...
CTF目学习记录
NeverSay_GiveUp的博客
11-10 955
CTF目学习记录 目1 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解思路: view_source [原理] 浏览器开发者工具 [目的] 掌握查看源代码的方式 [环境] windows [工具(浏览器)] firefox(火狐)或chrome(谷歌) [步骤] 1.用firefox打开页面,摁下F12,打开查看器可以得到flag 2.或用chrome打开页面,摁下F12,在Elements栏可以得到flag 目2 X老师上课讲了Robots协议,小宁同学却上课打了瞌
CTF--攻防世界Web新手训练1-6
qq_40730029的博客
04-09 1219
CTF之攻防世界新手练习 1. CTF–cookie 2. CTF–robots 3. CTF–backup 4. CTF–cookie 5. CTF–disabled_button 6.CTF–weak_auth 7.CTF–simple_php 8.CTF–get_post
CTF-PWN-play (条件竞争,多进程共享同一数据文件)
SuperGate的博客
02-16 847
程序概述 [*] '/home/supergate/Desktop/Pwn/pwn' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 只打开了NX保护,这为...
ctf web5 练习_CTF-攻防世界-WEB新手练习区 Writeup(12入门
weixin_33603656的博客
01-15 3486
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习12入门 Writeup(注意:攻防世界WEB每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。目提示查看源码,鼠标右键不管用,用F12...
CTF新手
bailandawang123的博客
06-11 879
通过代码我们可以发现,目分析:flag在变量中,GET方式从地址栏传参,Isset()检测变量是否已设置并非NULL,preg_match()用于执行一个正则表达式匹配,/^ 开始, \w表示任意一个单词字符,即[a-zA-Z0-9_] ,+将前面的字符匹配一次或多次,$/ 结尾。验证码,当我们看到这个时,输入计算出结果,发现只能输入1位,但是答案是俩位,此时我们应该在前端修改输入长度,然后就可以输入答案了。利用kali下载tplmap,的yourip,输入自己的网址,答案就出现了。
攻防世界web练习区初级
weixin_52555162的博客
02-20 4044
最近开始学习刷CTF目,在这里记录一下web小白的的刷记录,大佬请直接忽略~ 一、view_source 打开目地址 根据目提示可以知道这里应该是要我们直接查看源代码,我们查看源代码试试 找到flag,这种简单解法的送分一般只会作为CTF竞赛的签到 二、robots 根据页面提示,这里我们直接GET传参robots.txt 根据提示我们接着访问这个目录 得到flag: cyberpeace{b2d393affbdb4f3d26058...
CTFshow-Web入门-Web1-20 (信息收集完结篇)
m0_61155226的博客
03-07 7722
CTFshow-Web入门-Web11-20 (信息收集完结篇)
CTF-WEB(攻防世界目-新手区)
皮卡乒的皮卡乓
09-27 3314
CTF-WEB新手区view_sourcerobotsbackup 新手区 view_source 目:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解:右键有用不了,那就直接用F12,查看源码 可以看到这里的注释即为Flag robots 目:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解: 一进来,啥也没有。根据目,是robots协议: robots协议也叫robots.txt(统一小写)是一种存放于网站根目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值