记一次很简单的web题——CTFshow-WEB(1-4)

最新推荐文章于 2024-07-09 14:59:30 发布
最新推荐文章于 2024-07-09 14:59:30 发布
阅读量1k 收藏 6
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzwwhhpp/article/details/112969276
版权
本文记录了CTF比赛中关于WEB的四道题目的解题过程,包括从查看源代码获取flag,利用SQL注入进行爆库,通过PHP文件包含漏洞读取文件,以及使用日志注入技术找到隐藏flag。详细介绍了每一步的操作和思考过程。
摘要由CSDN通过智能技术生成

CTFshow之Web

web1

签到题,直接查看网页源代码,发现注释中有一串字符
ZmxhZ3s1NDliMDkyYi0yYzkwLTQ1MTktYmY5OC05YTg0MmI4MTdkODV9
在这里插入图片描述将此字符串进行base64解码即可得到flag
在这里插入图片描述

WEB2—SQL注入

题目提示是简单的SQL注入,于是尝试输入点中使用万能密码:admin'or 1=1#
在这里插入图片描述
之后发现有回显,说明存在sql注入,且用户名是ctfshow
接下来进行order by 判断字段数
在这里插入图片描述
查看源代码可知此登录页面使用POST传参,所以我们使用HackBar进行注入,而不能直接在url栏里进行注入。
输入 username=ctfshow'order by 4#&password=1

最低0.47元/天 解锁文章
0x00dream
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
webCTF简单解_ONE
huster0828的博客
11-19 715
1. view_source(from 攻防世界) X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 我是用的谷歌浏览器,Ctrl + U 就可以查看源代码 2. robots(from 攻防世界) 目描述是:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 打开网页什么都没有 然后去网上搜一下robots协议是啥 然后就进入了robots.txt这个根目录,出现了这个 又进入f1ag_1s_h3re.php里面,就找到fl
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web目,该目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
CTF_ctfshow更简单web
weixin_54227009的博客
05-13 204
打开靶机,发现为文件包含,变量为url 直接先试一下能不能读取到靶机的文件url=/etc/passwd 发现可以读 文件包含用五种常用的php为协议: (47条消息) 五种常见的php伪协议_浪_zi的博客-CSDN博客_php伪协议 这位师傅的博客中讲的很清楚,可以去看看 我们这里用的是data://text/plain,<?php ?>伪协议 1、直接执行php代码,查看当前目录下有哪些文件,构造payload url=data://text/plain,&lt...
ctfshow-web入门-文件上传(web161、web162、web163)远程包含
最新发布
Welcome To Myon'Blog !
07-09 1316
后面又去 b 站看了下视频,发现它远程包含的就是一个 php 文件,而我这里包含的 shell 是一个纯文本的东西,我最开始以为是将这段内容包含进了 index.php 的代码里,所以就没有考虑它不是 php 后缀是否可以正常解析的问。后面问了群里的师傅,说用 flask,我原本用的是 Apache 搭的服务,重置了服务器,Apache 和 php 其实都是刚下的,可能还需要配置点什么吧,不清楚,因此我们将木马放到 flask 服务上去。那么我们上传的文件名就不使用后缀即可:这里以 test 为例。
CTFshow web1
weixin_45908624的博客
01-31 1086
ctfsow web web1
ctfshow- web1(50 point)
HAI_WD的博客
08-29 509
这里有一个坑哇,这里注册的时候密码会给你md5,数据库里存储的也是md5,所以需要我们手动修改为字符。通过url发现这里是通过order by进行了排序,测试发现一共5个字段,并且3是按照密码进行排序。那么思路就是,一个字符一个字符的去进行测试。尝试弱口令无果,可以注册,尝试注册一个账号。首先映入眼帘的是登录界面。
ctfshow-VIP目-Web-详细解思路
01-27
根据目提示,尝试禁用js,然后就可以查看源代码了,flag:ctfshow{ae3d6a27-1de8-4b38-aa5a-0246096c0d0c}。 协议头信息泄露:根据目提示,使用浏览器自带的开发者工具查看响应头,看到flag,flag:ctfshow{967...
简单自学web前端——切片-附件资源
03-05
简单自学web前端——切片-附件资源
Web程序设计——JSP-源代码
04-28
【标】"Web程序设计——JSP-源代码"涵盖了Web开发中的一个重要方面,即JavaServer Pages(JSP)技术。JSP是一种用于构建动态网页的服务器端脚本语言,它将HTML、XML或其他标语言与Java代码相结合,使得开发者...
IOS应用源码——robin-cocoa-web-resource-8f47f25.rar
10-14
《iOS应用源码解析——深度探索robin-cocoa-web-resource-8f47f25》 在iOS开发中,源码是理解应用程序工作原理的关键。"robin-cocoa-web-resource-8f47f25"是一个专门针对iOS应用的源码库,它包含了用于构建iOS应用...
web-dev-guides:一系列方便的 Web 开发指南和技巧
07-24
Bjarne Gerhardt-Pedersen的 Web 开发指南集 如果您尚未访问该网站 - 单击链接 关于 我创建了这个网络指南,以便能够快速轻松地转储我遇到的常见问的所有提示、技巧和解决方案。 我经常发现自己花时间为同样的...
web-component-loader:将Web组件加载到页面中
02-06
在现代Web开发中,Web组件(Web Components)已经成为构建可重用、自包含且平台无关的用户界面的强大工具。Web组件允许开发者封装HTML、CSS和JavaScript,形成独立的UI元素,可以在任何支持Web组件标准的浏览器中...
Docker——通过 Docker-Conpose 安装 Web项目
01-07
该 We 项目是自己的一个开源项目,先通过 Docker-Conpose 这个技术,来对该 Web 项目进行一键配置环境及安装部署项目。需要 Docker-Conpose 环境,在此不进行描述。 Docker 安装 Docker-Conpose 安装 web 环境要求 ...
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
Stable-Diffusion WEBUI 简体中文语言包(2023.05.30更新)
05-30
AI绘图,Stable-Diffusion WEBUI,本地化(简体中文)语言文件。 原始文件来自翻译插件,根据自己实际使用情况,增加和修改了一些翻译。 配合【双语插件】看上去要自然一点,内容还在继续完善中。 本次增加了一些...
ctfshow web入门——web1
m0_74093152的博客
01-28 64
ctfshowweb入门——web1
CTFshow web入门 web1
weixin_45990644的博客
07-06 247
CTFshow web入门 web1 这道目比较简单目中有提到 “开发注释未及时删除” 点击连接后页面如下:按F12加入开发者模式查找注释(目有提到),即可得到flag: 补充: 1.做多看目。 2.按F12是进加入开发者界面,主要功能简单来说可以帮助开发者调试js和根据页面元素快速定位,确认请求相应时间和相应内容等,根据内容进行程序调优用。 参考来源: https://www.bilibili.com/video/BV14y4y1J7Yb https://zhidao.baidu.com/qu
ctfshow web(1-6)刷
qidiandexiaowu
11-30 611
目录web2 最简单的SQL注入 web2 最简单的SQL注入 尝试用万能密码。 admin ' or 1=1= # 登陆成功。 大概知道了闭合符号是‘ 然后构造payload:1' order by 3 # 用了怎么也没有出现回显位。 后来请教了学长了,才知道数据库里没有1这个数据,所以我们要使用or 1=1 order by 4 #才行。 因为 or是一真即真。1=1为永真,所以才可以执行我们后面的语句。 还有另一种方法到后面再说。 抓包看一下 右击发送给repeater payload:use
ctfshow-web-web红包
07-14
ctfshow-web-web红包是一个CTF(Capture the Flag)比赛中的Web目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值