攻防世界-web-新手模式 -做题记录

最新推荐文章于 2024-04-20 18:06:11 发布
最新推荐文章于 2024-04-20 18:06:11 发布
阅读量109 收藏
点赞数 2
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yier___/article/details/134295897
版权

1.PHP2

  1. (1)进入攻防世界网站,点击题库
    ,选择web,再选择新手模式,点击php2,然后点击获取在线场景。

07abf6b15b3c4bb9bbd107b03eb52de8.png

(2)点击获取在线场景,点击出来的网站,会出现下面的页面。

 0635a34cc9894354bab2190d201ea537.png

在URL上输入index.phps,会出现该页面 。这段的意思是admin不能等于id,但解码后的id要等于admin。

 23bc6485967a456090131d94a30f8cd9.png

 打开burp suite,点击Decoder,点击encoder,进行编码,由于输入浏览器时,浏览器会自动进行一次解码,说以我i们要进行二次编码。

92fec322cb0249c3863ed5e463ff105d.png

将二次编码的码输入到URL,得到flag,输到题目中,解出该题。

5297a8aa6591421482c4ed0d764e0563.png

2.simple-php

47e64a65662b4a92b4e64974bd144225.png

点击网址, 看到如下界面,由此可判断出a的值要等于0,且是真值。b的值不能是纯数字,还要大于1234。

e30ab820a605468a93d556d6bdc0b5fb.png

 我们可以在URL上写a==0,b=9999bgf(随便的英文)。得到该题的flag。

0ac48191662a422ca5a6c3b1dcb8fc76.png

3.back-up

74521603ed764500b194b75ddd0a8b6c.png

 点击网址,看到如下界面。根据提示,index.php的备份文件形式一般为php~或php.bak.

d733fe787bb3469688db549cbfa31b43.png

我们可以在URL中输入index.php~或index.php.bak。最后发现bak的形式可以,会出现下载页面。点击下载。打开。

da08e4f0bf764af0bedf43785f4335fd.png

c6857423fd054e3f8e30b5e936a02600.png

得到flag,解出该题。

4.weak-auth

f2b461b313194745a8ff58eb57f853c8.png

点击网址,得到如下场景 ,我们可以写123为用户名,456为密码。

5d520b0277154d7384dee212522a90a8.png

 打开burp,进行爆破。得到用户名为admin,得到密码为123456

c27dc35beb344b1b8cc5724394b4c90d.png

 2baf1e8c0c75487da96ce9a6ff154248.png

输入用户名和密码 ,解开该题

cc4ea721b6664b5eaaa6133fc50a2e1d.png

5.baby-web

 点击该网址,进入以下界面。

用burp进行抓包,发送到 repeater,点击send,会出现hello,world.

 

 

根据提示,我们应该把在第一行前加上index.,同时删掉1.。点击send,得到flag,解决该题。

network--L
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
level0 -- 攻防世界新手
01-19
来自攻防世界的pwn,是一道简单的新手样本目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问。漏洞利用问解决链接:https://blog.csdn.net/A951860555/article/details/112849849
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界新手模式Web
2301_79688134的博客
03-18 1468
首先我们查看页面,查看前端代码发现均没有什么有效信息,由目可知,此问与php相关,于是我们可以看一下他的index.php文件查看时用?index.phps补充知识:phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。得到了php源码,判断此处应该是代码审计问。这一段代码表明,经过url解码后的id不能等于admin,否则将会直接退出。
计算机病毒攻防论文-(精选).pdf
11-17
计算机病毒攻防论文-(精选).pdf
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127947532
攻防世界---Web---新手模式---PHP2
Lifelater的博客
11-10 515
4. 第二个漏洞在于,代码中使用了一次URL解码,但没有使用两次,这意味着我们可以对“admin”进行两次URL编码,使其变成“%2561%2564%256d%2569%256e”,这样在解码时就会被转换成字符串“admin”,从而绕过了判断。中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议;(<用户名>:<密码>@<主机>:<端口>/<url路径>)
攻防世界-web】ics-06
weixin_73625393的博客
10-28 792
点击【设置】后,将代理改为【手动配置代理】,将HTTP代理内容改为在brupsuite中查看到的代理ip,更改完后点击【确定】框3是对可疑的数据进行暴力破解,需要将它做个标识,将光标放到1前,然后按框4的键,对1标识进行暴力破解,鼠标右键,点击【Send to Intruder】发送到【Intruder】,快捷键为【Ctrl+l】方法一:打开【设置】后,在【常规】中,翻到最下边,找到【网络设置】,打开【设置】返回下图界面,进行设置,设置完成后,按框5,执行。点击框5后,破解,下图为正在破解中。
攻防世界---Web---新手模式---PHP2_攻防世界web新手php2(2)
2401_83946402的博客
04-20 411
第二个漏洞在于,代码中使用了一次URL解码,但没有使用两次,这意味着我们可以对“admin”进行两次URL编码,使其变成“%2561%2564%256d%2569%256e”,这样在解码时就会被转换成字符串“admin”,从而绕过了判断。具体来说,我们可以对“admin”进行URL编码,使其变成“%61%64%6d%69%6e”,这样在比较时就会被转换成字符串“admin”,从而绕过了判断。在网址后面加上“/index.phps”,可以看到网站的源代码,仔细查看可以发现,代码中存在两个漏洞。
攻防世界-Web】unserialize3解思路
一个手掰橙的博客
09-23 2784
CTF解思路
攻防世界Web新手练习篇
m0_63944500的博客
11-19 2129
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
攻防世界Web新手解(超详细)
weixin_52385170的博客
06-21 6657
Web新手
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手目,小白重新归来
攻防世界 WEB 新手练习区 答(1-12解)
小哈里的博客
10-23 8979
序 传送门:https://adworld.xctf.org.cn/task/ 1、
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8261
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
406_智能小区管家服务系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
毕业设计+项目编程实战+基于BS架构的ASP.NET的新闻管理系统(含程序源代码+毕业设计文档)
最新发布
06-02
前言……………………………………………………………………………….2 第1章 ASP简介…………………………………………………………….…..1 1.1ASP的特点………………………………………………………….1 1.2ASP的优势………………………………………………………….2 1.3 ASP与HTML……………………………………………………….3 1.4 ASP的内置对象……………………………………………………..4 1.4.1 Request对象………………………………………………….4 1.4.2 Response对象………………………………………………..4 第2章 为什么要开发一个新闻发布系统…………………………………………….6 第3章 Access数据库……………………………………………………………8 3.1 数据库概念………………………………………………………….8 3.2 Access数据库特点………………………………………………….8 3.3
攻防世界---Web---新手模式---backup
11-11
目描述:在攻防世界Web新手模式中,有一道名为backup的目。该目要求找到备份文件并获取flag。可以通过访问http://your-ip/backup/来查看备份文件,但是需要密码才能访问。我们可以通过查看网页源代码或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值