BugkuCTF Web篇

最新推荐文章于 2025-10-26 16:19:20 发布

原创

最新推荐文章于 2025-10-26 16:19:20 发布 · 2.2k 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#安全

第一关：Simple_SSTI_1

启动场景

显示 “你需要传入一个名为flag的参数。” ，F12进入页面源代码发现最下面有一行注释

SSTI模板注入中的secret_key 详情可以看大佬的这篇文章：https://www.cnblogs.com/bmjoker/p/13508538.html
看过wp之后知道获取方式为config.SECRET_KEY格式

2.根据提示使用get传参方式获取?flag={ {config.SECRET_KEY}} 得到flag

第二关：Simple_SSTI_2

题目描述

进入网页场景后显示如下图翻译过来的意思

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

苏北辰-

关注关注

54
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Bugku -----Web-----全题目解析（一）超详细步骤

qq_48368964的博客

07-30

1708

在 Flask 中，双大括号 {{ }} 用于表示动态内容的占位符，该内容将由模板引擎渲染。当你在 Flask 模板中使用双大括号把变量或表达式括起来时，它告诉模板引擎去计算该表达式并将其值插入到渲染后的 HTML 文档中。例如，你提供的代码 flag={{config.SECRET_KEY}} 将会在 HTML 文档中的该位置渲染 Flask 应用程序的秘密密钥。比如要配置一个项目的SECRET_KEY，可以使用app.config['SECRET_KEY'] = "xxx"来进行设置。

BugKuCTF(CTF-练习平台)——Crypto-简单加密

Ifish的博客

01-29

2922

题目描述：问题解答： 1）思路：初见题目，这是一段加密文字，观察后两位是相同的字母，这让我想到是凯撒加密与base64相结合的加密方式。 1）解密： 1.根据ASCII表，将上述文字转换为十进制，网址http://www.ab126.com/goju/1711.html 2.打开文本编辑器，将得到的字符串中的空格替换为“，” 因为，确定前移4位，打开vs 将...

参与评论您还未登录，请先登录后发表或查看评论

Bugku-Web题目-charlottesweb- WolvCTF 2023

最新发布

2401_86518996的博客

10-26

209

打开后发现以put请求方式访问路径即可得到flag。打开题目，提示flag就在附近。按个f12，看到个路径看看呢。

BugKuCTF WEB

让我再浪一会的博客

11-24

1063

文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站被黑十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址一、web2 进入网页，查看源代码，在其中找到flag 二、计算器进入网页，根据题目可得知需要输入运算结果，但限制了输入的数字的个数，查看网页的JS代码，将 maxlength =

bugkuctf解题-WEB

05-04

bugku writeup，web解题writeup，根据网上的writeup自行解题后整理的日记，与大家分享，大家有新方法的也可以评论中告诉我，共同进步。——CTF菜鸟敬上。

BUGkuCTF

bigbigworld666的博客

06-26

1527

BUGkuCTF （一）WEB （1）web2 进入环境，首先看源码，在里面直接找到flag [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97sg5F09-1593143273882)(file:///C:/Users/HP/AppData/Local/Temp/msohtmlclip1/01/clip_image002.gif)] （2）计算器首先输入数字发现只能输入1个，所以F12去修改源码，将maxlength修改，然后填入正确数字即可出现flag [外链图片转存失

bugkuctf

Vinson的博客

10-16

430

目录 web3 域名解析你必须让他停下变量1 网站被黑 web3 不断跳出弹框，用firefox可阻止，chrome没找到，查看源代码百度查出是Html特殊字符，在Html页面里可输出域名解析听说把 flag.baidu.com 解析到123.206.87.240 就能拿到flag C:\Windows\System32\drivers\etc找到hos...

bugku ctf web篇（一）

weixin_51387754的博客

08-26

727

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯” 。 ...

CTF BugKu平台—(Web篇①）_ctf bugku web

2501_90392009的博客

01-31

1848

发现是一个一直在闪的页面使用bp 抓包发送到requencer --send 随便点几下在到10.jpg 发现了flag。即num既不能是数字字符，但是要等于1，我们可以想到用科学计数法表示数字1，既不是纯数字，其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的，查看源代码。是一个弹窗 F12 找到一些线索，估计是编码，看了一下下面的评论知道是Unicode编码。通过url传入what的值，让其等于flag，直接构造url就得到flag。

BugkuCTF练习题解——Web一

qq_41739275的博客

08-24

7291

文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸，好家伙，吓我一跳，还以为是大bug，然后也没有提示啥的感觉有点无从下手？？？别急，打开页面源代码（检查元素也可）瞅瞅注释部分就是flag了。 2.

BugkuCTF——最新web篇writeup（持续更新）

1匹黑马

11-16

4482

文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag：KEY{Web-2-bugKssNNikls9100} 计算器这里做了输入长度限制，F12选中输入框，修改长度限制即可。 flag：flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET，只要我们传递的参数为what，并且内容为flag，即可输出flag。 flag：flag{bugku_get_su8

bugkuCTF

YenKoc的博客

10-18

274

这题说实话我一脸懵逼，计网还没学的我，瑟瑟发抖，赶紧去百度。思路分析：涉及到域名解析，也就是dns服务，看了看writeup，都是修改host文件，百度了下host文件的作用，才明白了 host文件是作用是定义了本机上ip和域名之间的关系，一般当我们上网一时都是输入域名：www.xxx.com，会有dns服务器帮我们解析成ip，但是会先从host文件里面去找是否有映射关系，如果没有才会去拜托...

Bugku CTF

weixin_44512852的博客

09-29

309

web GET 进入环境是一个php代码，用GET方式给what赋值，要求what==flag 得到了flag 计算机打开环境，是一个计算题和一个输入答案的框子，如图这个加法的结果是151，在输入中发现输入框只能输入一个字符这里可以按F12，通过左上角小指针定位输入框，然后修改input标签中maxlength值，>=3即可在答案框输入答案验证即可得到flag：flag{bef79d16e6359d6e4e6a8763a9cf41d0} POST 和前面GET那题很像，这里要求的po

BugkuCTF WEB解题记录 1-5

aap49042的博客

08-06

424

写了一部分的web题，算是把它最基础的一部分做了一遍，以后的几天将持续更新BugkuCTF WEB部分的题解，为了不影响阅读，所以每五道题的题解以一篇文章的形式发表，感谢大家一直以来的支持和理解，共勉~~~ web2 打开链接http://120.24.86.145:8002/web2/ 看到的是一个充满滑稽脸的网页，这个题目很简单我们直接利用F12查看...

BugkuCTF-web

Mccc_li的博客

04-05

566

args=GLOBALS GLOBAS:全局变量，然后var_dump打印出全部的变量的内容

BugKuCTF 杂项 telnet

无限迭代中......

09-02

1096

http://123.206.87.240:8002/misc/telnet/1.zip 题解：下载解压 wireshark打开对任意TCP连接追踪TCP流

BugkuCTF-社工

1stPeak's Blog

08-22

2549

好久不做题目了，慢慢来，先来点简单的 1、密码盲猜一个zs19980315（看的qwq） 2、信息查找题解：直接按他的要求去搜 3、简单个人信息收集附件链接https://pan.baidu.com/s/1l9907EUd6tBaScCsYW8QwQ 提取码：7gzg 看别人wp原来这题还有伪加密的，现在没了，想了解的，看文章底部的链接社工库查询：http://site3.sjk.space/dosfz.php 4、社工进阶题解：百度搜索孤长离，发现有个贴吧看到163，我们想到

BugkuCTF【部分web】

taozijun的博客

09-27

1073

web基础$_POST 这个很简单,hackbar就可以做，但是只能用hackbar做吗？如果网页原本没有输入框给你输入数据，并在后台设置提交方法为post，那么你就无法主动向一个网站post一个数据（dalao会构造post表单例外）。有什么方法可以简单地向一个网页主动去post一个数据呢？但....我没找到（因为包不一样所以抓包改包软件也没什么用）。只能说在chrome可以用post...

BugkuCTF_杂项001

FAFU小宋的博客

10-30

630

BugkuCTF_杂项隐写眼见非实(ISCCCTF)啊哒又一张图片，还单纯吗猜隐写（1）解压附件，发现有一张图片，并没有有用的信息（2）根据题意，flag被隐藏起来了，用notepad++打开（3）红色方框部分代表的是图片的像素，也可以理解为长和高，发现图片的高度比长度小了不少，将高度修改为长度的值。（4）保存后重新打开图片，发现flag 眼见非实(ISCCCTF) （1）下载附件，得到一个名为zip没有后缀名的文件（2）用notepad++打开，发现文件头是50 4B 03 04，说明