CTF平台题库writeup(二)--BugKuCTF-WEB(部分)

最新推荐文章于 2025-02-11 15:29:58 发布
最新推荐文章于 2025-02-11 15:29:58 发布
阅读量4.3k 收藏 10
点赞数 2
分类专栏: CTF 信息安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsw15841822890/article/details/106975387
版权
本文详细介绍了BugKu CTF Web系列挑战的解题过程,涵盖多个题目,包括从寻找源码中的flag、数字截断、Unicode解码、文件包含、正则表达式利用到HTTP头伪造等技巧。通过这些实例,读者可以深入理解Web安全领域的常见漏洞和解决策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

web2

flag在源码的注释里

计算器

改一下text文本框的最大输入位数>1即可

web基础$_GET

GET方式传参即可

web基础$_POST

post方式传参即可

矛盾

$num=$_GET['num'];
if(!is_numeric($num))
{
echo $num;
if($num==1)
echo 'flag{**********}';
}

这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问了一下度娘,发现在数字后面加上%00截断,is_numeric()函数就不能识别为数字了…
payload:

123.206.87.240:8002/get/index1.php?num=1%00

web3

这题疯狂弹出对话框,阻止以后查看源码,果然全是alert弹窗,在最下面的注释里发现了一大串编码,不太认识:

问了一下度娘,发现是unicode,直接在线解码即可

域名解析

进入windows/system32/drivers/etc/hosts中添加123.206.87.240 flag.baidu.com,然后直接访问域名即可

你必须让他停下

这题如何让他停下?直接bp抓包拦截,然后一次一次执行,go了几次发现flag

本地包含

 <?php
    include "flag.php";
    $a = @$_REQUEST['hello'];
    eval( "var_dump($a);");
    show_source(__FILE__);
?>

REQUEST默认情况下包含了 _GET,\_GET,_GET,_POST 和 _COOKIE的数组。这题的最终目的就是要看到∗∗flag.php∗∗里的内容,eval是执行\_COOKIE 的数组。 这题的最终目的就是

最低0.47元/天 解锁文章
bugkuctf解题-WEB
05-04
bugku writeupweb解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
[Bugku] web-CTF靶场系列系列详解④!!!
muyuchen110的博客
08-04 660
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台部分赛题采用动态FLAG形式,避免直接抄袭答案。
Bugku -----Web-----全题目解析 (一) 超详细步骤
m0_74825108的博客
12-12 956
例如,你提供的代码 flag={{config.SECRET_KEY}} 将会在 HTML 文档中的该位置渲染 Flask 应用程序的秘密密钥。首先对于这个有flask构建的web文件上传程序,其中包含了一个文件上传的端点 /uploader。当客户端通过 POST 请求发送文件到 /uploader 时,服务器会检查是否有文件被上传,然后将文件保存到指定的上传文件夹中。在文件保存后,os.system(’ ls /') 这行代码被执行,它会在服务器上执行 ls / 命令,列出根目录下的所有文件和文件夹。
ctf网络安全题库 ctf网络安全大赛答案
最新发布
2401_88752464的博客
02-11 948
此题解仅为部分题解,包括:【Crypto】①MD5 ②password ③看我回旋踢 ④摩丝【Misc】①爆爆爆爆 ②凯撒大帝的三个秘密 ③你才是职业选手。
BugkuCTF-web
Mccc_li的博客
04-05 511
args=GLOBALS GLOBAS:全局变量,然后var_dump打印出全部的变量的内容
BugkuCTF_WEB
m0_46263419的博客
06-14 329
BugkuCTF_WEB习题(持续更新) 1.web2 这题查看源代码即可,在url前加上 view-source: 。或者按F12也行 2.计算器 按F12, 用选区器选取文本框,在maxlength那个把1改大就可以正常输入了 3.web基础$_GET 在get请求时,传入参数形式是在url后面加?参数=值。多个参数用& http://123.206.87.240:8002/get/?what=flag 4.web基础$_POST POST请求没办法写在url里,这里用到hackba
BugKu CTF Web
qq_51110485的博客
06-28 2405
BugKu CTF Web滑稽计算器GETPOSTSimple_SSTI_1矛盾Simple_SSTI_2 滑稽 启动场景,打开链接,页面是一堆滑稽图片,查看网页源代码,flag在注释里面,去掉注释,提交即可。 计算器 打开链接,发现左边是一个加法运算,得到结果是119,但是输入框内只能输入1位数字,fn+f12(win10)打开审查代码,将输入框的maxlength改为3,输入结果,弹出flag。 GET 打开链接,访问页面,发现是一个简单赋值判断,意思是提交get类型 what=flag 会输出fl
BugkuCTF-WEB-WEB4
Jaychouzzk
11-16 452
  看看源代码就看看源代码,截取重要的一部分代码,这里都进行url编码了,进行解码 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e...
[Bugku] web-CTF靶场系列详解①!!!
muyuchen110的博客
07-30 1357
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台部分赛题采用动态FLAG形式,避免直接抄袭答案。
[Bugku] web-CTF靶场系列系列详解⑥!!!
muyuchen110的博客
08-09 1131
【代码】[Bugku] web-CTF靶场系列系列详解⑥!!!
[Bugku] web-CTF靶场系列详解②!!!
muyuchen110的博客
08-01 640
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台部分赛题采用动态FLAG形式,避免直接抄袭答案。
BugkuCTF web
weixin_45689999的博客
01-19 893
1.web2 先打开F12看看,很容易发现在注释里面有flag。 把flag后面内容输入即可。 2.计算器 发现是一道及其简单的计算题(要是手上没有计算器有些题比较难算的话,可以点击题目换一道蛤,但是怎么换答案都是两位数以上的),输入答案,发现只能输入一位数,打开F12 发现他可输入字符长度为1,双击修改成10等位数,再输入正确答案,flag就出现了。 3.web基础-GET变量参考以下网址了解_...
BugkuCTF WEB解题记录 1-5
aap49042的博客
08-06 376
写了一部分web题,算是把它最基础的一部分做了一遍,以后的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每五道题的题解以一篇文章的形式发表,感谢大家一直以来的支持和理解,共勉~~~ web2 打开链接http://120.24.86.145:8002/web2/ 看到的是一个充满滑稽脸的网页 ,这个题目很简单 我们直接利用F12查看...
CTF学习(入门):Bugku--web--矛盾
m0_45157173的博客
11-15 1683
CTF学习(入门):Bugku–web篇–矛盾 http://123.206.87.240:8002/get/index1.php 涉及操作:PHP黑魔法、特殊情况下的=号判定 进入目标网站: 解读代码: get一个num, 若num不是数字, 出一次num的值,后若num=1 出flag; 若num为数字则不进行任何操作 所以要输出flag,首先要num不是数字,然后又要num=1 这显然是矛盾的。 单纯使num=1或=a结果如下: 这就只能用num的一个特性: 对1加一个字符,如“1a”、“1-”,
BugKuCTF | WEB (题11---题20)
weixin_47982238的博客
08-20 439
WEB5 上图给了提示JSPFUCK
ctf up怎么写 write_CTF20 write_up 及感受(一)
weixin_34269309的博客
12-24 277
6月262012为期两天的CTF结束了,我基本没做出什么贡献,十分惭愧。仅有的做出来的几道题,也不是第一时间提交完成的。不过靠着CK和NWMonster以及清华北大的众多高手的努力,最终团队成绩还是冲到了首页,停留在了19名的位置。我大概讲下我还有印象的几道题吧grab bag100这道题应该是最简单的,一句话How to crack the planet大致是这个样子的,然后答案是!,这道题好像...
BugkuCTF-WEB题速度要快
am_03的博客
08-28 848
打开网页,只看到一句话:我感觉你得快点!!! F12查看源代码 发现了提示:OK ,now you have to post the margin what you find 需要以POST方式传参,先用BrupSuite抓包看一下 1、使用BrupSuite抓包并重新发送 发送后看到flag 2、使用base64解码 跑的还不错,给你flag吧: MTMyOTIx 3、继续进行一次base64解码 4、通过post方法上传margin=132921 还要再快点,看来有时间限制,不过已经有了思路
ctf up怎么写 write_Hgame Ctf write up (3&4)
weixin_42565652的博客
01-14 624
本帖最后由 yechen123 于 2019-3-9 21:06 编辑这是第三周和第四周的逆向题好像没有师傅写wp恰巧第一次碰到webassembly 想记录一下题目.rar(135.21 KB, 下载次数: 31)2019-3-6 22:35 上传点击文件名下载附件下载积分: 吾爱币 -1 CB第三周0x00 easy_math[Asm] 纯文本查看 复制代码int __cdecl main(i...
BugkuCTF-WEB-第1题到第42题
Alita_lxz的博客
10-12 2470
BugkuCTF-WEB https://ctf.bugku.com/challenges 1.web2 题目地址:http://123.206.87.240:8002/web2/ F12看一下 flag就在里面 2.计算器 题目地址:http://123.206.87.240:8002/yanzhengma/ 文本框限制了输入,F12改一下 成功获得flag 3.web基础$_GET 题目地址:http://123.206.87.240:8002/get/ GET传参,如果what=flag,输出
PHP在CTF-Web挑战中的实战应用技巧
标题和描述中提到的知识点是关于在Web环境中使用PHP编程语言进行CTF(Capture The Flag)挑战的介绍。...在CTF-Web-Challenge的环境中,参赛者将有机会通过实战演练这些技术,提升自己的安全技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值