CTFSHOW web入门 web55

原创 已于 2024-02-03 21:53:04 修改 · 414 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

于 2024-01-31 22:48:49 首次发布

web55

在这里插入图片描述
首先查看代码,发现过滤了/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i
但是可以发现该题并没有过滤 通配符(?),数字,和点(.),但对点(.)的作用和用途不清楚,上网搜索了

最低0.47元/天 解锁文章

200万优质内容无限畅学
NNASJ
关注
ctfshow web55
snowlyzz的博客
05-30 975
/* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET['c'])){ $c=$_GET['c..
ctfshow web入门 web87
2401_83272517的博客
05-25 1272
入门2年半还没有入门的菜坤的日常wp
CTFshow web55
ChenD的学习笔记
11-10 1323
CTFshow web55
CTFshow 命令执行 web55
Kradress的博客
11-20 324
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET[
ctfshow命令执行web55
qq_74953938的博客
01-08 144
打开题目如上所示,过滤了字母以及空格等,但是没有过滤数字和$符号。所以解法之一是可以采用八进制执行的方式读取flag,如使用。又因为字母被过滤,使用可以用通配符?如c=/bin/base64 flag.php。故payload可以是。
CTFshow web 入门55
li_n_k的博客
11-11 308
CTFshow web 入门55
ctfshow web入门--爆破
2402_87078084的博客
02-22 199
随便输入账号密码进行登录,抓了半天都没有抓到有用户名和密码的包,最后还是用的bp的内嵌浏览器才抓到。然后进行爆破,这里我们采用 Custom iterator进行爆破,具体操作可参考。疑似base64编码,所以解码试试看,发现是我们输入的账号密码,并且是。点击连接进去就是登录页面,但并没有给账号密码,所以直接抓包看一下。我们再使用爆破成功的账号密码,就能得到flag。提示中给了一个压缩包,下载后发现是一个字典。状态码为200即为爆破成功。
ctfshow web入门 nodejs334-338
2301_80548709的博客
04-27 914
这题入门题,下载附件以.zip的格式打开,拿到源代码,进行代码审计,发现,按照他的逻辑.输入正确的用户名及密码即可登录,这里需要注意的是,对于这个代码的逻辑,是你输入的用户名是不能等于CTFSHOW的,所以我们输入他的小写即可,因为它后面有toUppercase()函数,会将我们输入的大写,所以不用管.js大小写特性参考。
CTFShow Web入门_爆破
qq_19533763的博客
04-01 1303
Web21 随便输入抓包 发现Base64加密 账号和密码用:隔开 使用BP构造payload爆破 下载官方提供的字典 把后缀名改为.zip即可打开 使用Custom iterator模式 第一部分 第二部分 第三部分使用字典 添加base64加密 关闭url编码 爆破完按length排序查看最小的回包 Web22 子域名爆破,爆破ctf.show 最终在vip.ctf.show的源码发现了flag Web23 error_reporting(0); include('fla
ctfshow-web入门-命令执行(web53-web55
Welcome To Myon'Blog !
06-10 1760
这里的代码有点不一样,说一下这两种的区别:(1)直接执行 system($c);这种方式会直接执行命令 $c 并将命令的输出直接发送到标准输出(通常是浏览器);不会返回命令的输出值,因此不能对输出结果进行进一步处理。(2)使用一个参数来接受 system 的返回值后再输出它这种方式不仅会执行命令 $c,而且会将命令的最后一行输出结果赋值给变量 $d;然后通过 echo "".$d;将变量 $d 的内容输出到标准输出;
无字母数字的命令执行(ctfshow web入门 55
热门推荐
Firebasky的博客
09-10 1万+
这几天都没有怎么学习,基本上都是复习学科知识,因为我们要期末考试。刚刚好今天有时间来做了一道命令执行的题,再一次拜读了 p神的文章。受益匪浅。 直接进入正题 源代码 <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1x.
ctfshow Web55 只用符号的命令执行
qq_37301470的博客
06-13 471
命令执行的神奇方法 上传php临时文件,并用 . 来访问 复现一下,思路参考网上大佬的
CTFshow web入门 web41~web55 命令执行_ctfshow web41,文末有彩蛋
2301_82242296的博客
04-15 855
cat、flag、[空格]、[0-9]、*、more、wget、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、`、%、\x09、\x26、>、、
ctfshow web入门55~122 命令执行
qq_53063436的博客
10-14 2455
<?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // 你们在炫技吗? if(isset($_GET['c'])){ $c=
ctfshowweb55~web57(无字母的rce)
qq_1182418846的博客
08-31 1424
声明:本章内容是引荐几位师傅的博客,然后根据自己的理解编写而成。
CTFshow web入门 web41~web55 命令执行
qq_56815564的博客
04-15 2331
这回是真正意义上的禁用了这些命令了,以前还能通过中间添加一些特殊符号来绕过的,现在是完全不能使用了,毕竟 . 后面跟上一个通配符后,就完全不能在中间加点什么了。简单分析一下,if中的语句第一个是输出GET传入的参数、第二个是执行c的语句后得到的东西赋值给d、第三个是换行后在输出d的内容。但是留下了一个一个或运算符( | )空格不能用可以使用tab键代替,url编码是%09,反正tab是最多是4个空格,多几个空格也不会怎样。说到底,这么多能有回显的函数,也不差cat这一个,形式有这么多,也不差分号这一个。
CTFshow web入门 web41~web55 命令执行_ctfshow web41,看完我工资从12K变成了20K
m0_60666452的博客
04-05 974
cat、flag、[空格]、[0-9]、*、more、wget、less、head、sort、tail、sed、cut、tac、awk、strings、od、curl、`、%、\x09、\x26、>、、
ctfshow web入门 命令执行后篇(web55-web188)
ccfly1012的博客
09-04 2161
web55 <?php ​ /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 20:03:51 # @email: h1xa@ctfer.com # @link: https://ctfer.com ​ */ ​ // 你们在炫技吗? if(isset($_GET['c']..
ctfshow web入门 命令执行:55-57
rawrecruit的博客
04-04 5339
ctfshow web入门 命令执行篇的个人刷题记录。
ctfshow web入门 web35
最新发布
03-29
### CTFShow Web 入门 Web35 的解题思路 CTFShow 平台中的 Web 类别题目通常涉及常见的 Web 安全漏洞,例如 SQL 注入、XSS 跨站脚本攻击以及文件上传等。对于 Web35 这一入门级别的挑战,可以从以下几个方面入手...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值