CTFshow的web15

最新推荐文章于 2024-06-07 19:36:41 发布
最新推荐文章于 2024-06-07 19:36:41 发布
阅读量426 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhong_yan/article/details/120982028
版权

题目提示有时候邮箱也会造成信息泄露。

我们创建完环境后打开管理员后台

 显然,我们是不知道密码的,但是,我们可以点击忘记密码来进行找回。

 密保问题也只有一个,我们通过网站(不是管理员后台)底部的邮箱,可以查看QQ所在地址

是西安。

重置成功了,我们进行登陆

得到了flag

 

 

本题虽然有刻意的意思,但是,也不妨碍成为一种渗透思路。 

 

zhong_yan
关注
CTFSHOW WEB题目
qq_45655564的博客
08-09 2939
web签到题 网页原代码中发现这个,base64解码就是flag web2 这道题目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
ctfshow WEB入门 文件上传151-170_ctfshow web入门文件包含167(1)
2401_84297265的博客
04-28 836
只是过滤了分号,其他同上。php的最后一个分号可以省略。
CTFshow web15
热门推荐
wangyuxiang946的博客
09-12 1万+
ctf.show萌新模块 web15关, 这一关是代码执行漏洞, 需要灵活的运用PHP的命令执行函数, 在上一关的基础上又过滤了 = ? > 关键字, 看起来已经没啥思路了, 但仔细一看, 它居然取消了对分号;的过滤, 这样一来就好办了, 继续上一关的曲线救国思路, 先GET请求传递一句话木马, 再用POST请求传递系统命令, 即可拿到 flag 进入页面后, 可以看到部分源码, 源码中提示 flag 就藏在 config.php 文件中 源码中通过GET请求获取参数, 并...
CTFshow web入门15
vergame的博客
03-23 587
打开网站,题目提示为信息泄露,最下方找到一个邮箱1156631961@qq.com,进入后台,url/admin/ ,选择忘记密码,问题为所在地,根据QQ查询所在地,得到为陕西西安,输入后得到密码 “您的密码已重置为admin7789” 后台登陆后得到flag。 ...
ctfshow-web-web15 Fishman
HAI_WD的博客
09-11 679
ctfshow-web-web15 Fishman
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 962
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFSHOW web164 PNG二次渲染脚本(生成图片马)
05-04
这段PHP代码创建了一个32x32的真彩色图片,并将一个数组中的RGB值作为像素颜色填充到图片上,最后将图片保存为名为"2.png"的文件。另外,这段代码还暗藏了一个木马内容,可以通过GET请求调用POST请求中的参数作为...
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
CTFshow 信息收集 web15
Kradress的博客
10-23 168
根据提示 公开的信息比如邮箱,可能造成信息泄露,产生严重后果 找到公开的邮箱 访问 /admin 登录后台,用邮箱作为密码登录失败 点击忘记密码,根据邮箱加qq发现简介里面有个在西安 重置密码后登录获得flag ...
ctfshow web15-web25详细思路
2201_75316477的博客
01-15 437
position的位置即为我们的拼接方式,根据上述base64解码的tomcat密码的格式:用户名:密码 ----->则position的位数为3。3个拼接完成后,需要进行base64编码;
ctfshow简单题web1-15
qq_62984336的博客
03-10 1156
ctfshow萌新 ctfshow萌新web1web2-4web5-7web5web6web7web9web10web11web12web13web14、15 总结:这几题主要都是正则匹配字符过滤的绕过,基本步骤都是源码中查看过滤规则->找到注入点->传入payload。只在web1中写了比较完整的步骤,剩下的题目主要只说对于字符过滤的绕过方法。 web1 1.手动注入。需要绕过函数inval,要求id不能大于999且id=1000,所以用'1000'字符代替数字1000 .
CTFSHOW系列-web15(信息收集-邮箱信息泄露)
siu~
11-29 535
CTFSHOW系列解题思路
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数字取证解析
2401_84247760的博客
04-28 306
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
[代码审计][备份泄露][时间盲注]CTFSHOW----WEB15(不会做以后补充)
Y4tacker的博客
08-06 7245
文章目录备份文件代码审计 备份文件 首先题目hint里面说了是源码泄露,我自己随便输入也发现了www.zip,但是还是走流程吧,用dirsearch工具,从这里我们也能发现突破口 代码审计 首先这是它给的压缩包,从里面我看了一下发现关键文件2020.php 发现是基于X-Forwarded-For,也就是XFF头的注入 <?php require_once './include/common.php'; $realip = real_ip(); $ipcount = $DB->count("
CTFshow 信息收集 web12 13 14 15
ChenD的学习笔记
11-07 733
CTFshow web入门 信息收集 web12 web13 web14 web15
ctfshow web
最新发布
2301_81040377的博客
06-07 477
前面都是在flag之前的返回都一样,而g不一样则可以判断出来flag的第一位在7号位,依次类推测出所有flag。随便传username和password发现没有p参数那我们就把ssrf传在returl。但是我说过题目改了所以我们只能用类似的方法而不能用一样的脚本,暂时打不通欠着。我拿直接的去打了半天没反应,原来是要url再编码一次。除了用户名不能是admin其他的都行。我原先是以为可以覆盖密码结果我想多了。传完之后访问小马rce即可。这道题被改了一点小改动。这道题就是覆盖密码了。
CTF-show WEB入门--web15
m0_73912575的博客
01-04 471
CTF-show WEB入门--web15
ctfshow的web15 fishman
09-11
根据引用,ctfshow的web15 fishman是一道CTF比赛中的题目。根据引用的源代码,题目要求找到关键的源代码,并扫描目录。代码中包含了一个函数`receiveStreamFile`,用于接收文件流并将其保存到指定的文件中。代码还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值