BugKu CTF Web WriteUp学习笔记

最新推荐文章于 2024-07-30 18:28:53 发布
最新推荐文章于 2024-07-30 18:28:53 发布
阅读量1.2k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a895963248/article/details/98587815

目录

BugKu

https://ctf.bugku.com/challenges

0x01 web2

听说聪明的人都能找到答案
题目链接:http://123.206.87.240:8002/web2/
禁用JavaScript后右键点击查看源码
或者在url前面加上view-source:查看源码

view-source:http://123.206.87.240:8002/web2/

flag:KEY{Web-2-bugKssNNikls9100}

0x02 计算器

题目链接:http://123.206.87.240:8002/yanzhengma/
一道简单的加减法计算题,直接输入答案发现限制输入长度为1
F12将maxlength修改为3或更多,输入答案即可
flag:flag{CTF-bugku-0032}

0x03 web基础$_GET

题目链接:http://123.206.87.240:8002/get/
题目给出代码

$what=$_GET['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';

意思是让我们get方式传一个变量what使得what=flag
payload
?what=flag
flag:flag{bugku_get_su8kej2en}

0x04 web基础$_POST

题目链接:http://123.206.87.240:8002/post/
题目给出代码

$what=$_POST['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';

同样要求传一个变量what使得what=flag,不过是用post方法
抓包
1.将请求头中第一行加上POST + url + HTTP版本

POST http://123.206.87.240:8002/post/ HTTP/1.1

2.中间加上POST头部数据格式声明

Content-Type: application/x-www-form-urlencoded

3.数据部分what=flag

what=flag

在这里插入图片描述
flag:flag{bugku_get_ssseint67se}

0x05 矛盾

题目链接:http://123.206.87.240:8002/get/index1.php
题目给出代码

$num=$_GET['num'];
if(!is_numeric($num))
{
   
   
echo $num;
if($num==1)
echo 'flag{**********}';
}
1aflag{
   
   bugku-789-ps-ssdf}

要求我们传入一个参数num,不能是数字,又必须跟1相等,看上去很矛盾
我们可以传入1+任意字母开头的字符串
在传入后判断num的类型就会判断为字符串型,然后跟1比较时,会转换成int型
payload

?num=1a

flag:flag{bugku-789-ps-ssdf}

0x06 web3

题目链接:http://123.206.87.240:8002/web3/
点开链接,会一直弹出烦人的弹窗,同0x01查看源码,在最后注释部分找到一串编码

KEY{J2sa42ahJK-HS11III}

这是一串uricode编码解码后得到flag
flag:KEY{J2sa42ahJK-HS11III}

0x07 域名解析

听说把 flag.baidu.com 解析到123.206.87.240 就能拿到flag
修改host
位置为
C:\Windows\System32\drivers\etc
以文本文件打开HOSTS
在后面加上一行

123.206.87.240 flag.baidu.com

然后访问flag.baidu.com即可得到flag
flag:KEY{DSAHDSJ82HDS2211}

0x08 你必须让他停下

题目链接:http://123.206.87.240:8002/web12/
抓包,一直go

最低0.47元/天 解锁文章

200万优质内容无限畅学
XQin9T1an
关注
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
Bugkuctf web writeup
k0sec的安全路
03-18 475
web2 writeup 访问http://123.206.87.240:8002/web2/ 一堆滑稽。。。 页面没有任何提示,查看一下源代码。点击鼠标右键,发现没有查看源码选项,正常情况下应该有。 猜测flag很可能在源代码中。 按F12: 很显然,flag KEY{Web-2-bugKssNNikls9100} 总结,查看源代码的几种方法: (1)F12 (2)Ctrl+U (3)在u...
BugKu 你必须让他停下来
weixin_30955341的博客
10-08 1037
题目链接 打开后页面一直在闪。用bp抓包,GO了两次发现,返回不同的图片,不停的GO,最后返回10.jpg的时候得到了flag。  Dummy game I want to play Dummy game with others£¡But I can't stop! Stop at panda ! u will get flag flag{dummy_game_1s_s0...
bugku 你必须让他停下
rommel的博客
07-31 2418
进到界面,就是一直在闪屏,所以果断想到用burpsuite抓包,然后便能能到flag为flag{dummy_game_1s_s0_popular}
bugku{web writeup笔记}
baidu_39504221的博客
10-19 315
web2 F12看一下 计算器 发现这里只能写一位 按F12把下图的maxlength改一下再输入 web基础$_GET 依照题意提交一个get请求 web基础$_POST 这里则是提交一个post 可以用火狐的插件hackbar,也可以用在线工具 没有hackbar我就用在线工具了 矛盾 依照题意需要提交一个get参数num,需要num不是数字才能进入第一个if语句,有需要num==...
神秘代码alpha191的终极打开方式
纳格兰小站
03-10 5247
广义上的量化分析主要有三大领域——量化选股,量化择时和各种套利交易。 在量化选股策略中。多因子策略作为一个主要手段,被各种公募基金和私募基金长期使用。 简单来说,所谓因子就是影响股价波动的因素,将其量化以后用来指导选股。 学过计量经济学的同学应该觉得很好理解——没错,本质上就是所谓的多元回归模型。常见的因子列表如下: 因子包括9类,规模因子,估值因子,成长因子,盈利因子,动量反转因子,交投因子...
BugkuCTF——最新webwriteup(持续更新)
1匹黑马
11-16 4268
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
BugkuCTF Web
最新发布
2201_75891821的博客
07-30 2099
Bug ku CTF web
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
本文主要涉及的是网络安全领域中的CTF(Capture The Flag)竞赛,特别是Web安全相关的挑战。在2018年的第二届强网杯线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web安全技能,包括但不限于密码...
ctf web3 30 flag就在这里快来找找吧http://123.206.87.240:8002/web3
MIGENGKING的博客
06-13 7783
这节我们来破解一个HTML密码。 打开题目有提示“flag就在这里”的页面,总是打不开页面: 这时我们可以按“Fn+F12”(或者按“ctrl+U”)直接查看页面源码: 这是我们就需要把页面的HYML源代码在线解码一下(是解码!!): 但我们提交flag时提交(KEY{J2sa42ahJK-HS11III}) 这里我们应该了解一些关于ctf常见代码: 1.Base32加密: 例:KRUG...
web5
honey97的博客
03-27 1398
打开源代码发现如图所示,是jother编码,然后我就粘贴复制到console里面执行了一下然后flag就出来了
ctf bugku 变量1
qq_35191331的博客
08-12 3658
flag In the variable !  error_reporting(0); // 关闭php错误显示 include "flag1.php"; // 引入flag1.php文件代码 highlight_file(__file__); if(isset($_GET['args'])){ // 通过get方式传递 args变量才能执行if里面的代码     $args
BugkuWeb题目解析
北观止的博客
07-31 1万+
BugkuWeb 1.web2 解析: 源码中有注释 答案: KEY{Web-2-bugKssNNikls9100} 2、计算器 题目出现了一个很简单的验证码,只要输入正确就可以获得flag,但是尝试后发现题目的输入框只能输入一个数字, 果断审查元素,发现了输入框的最大长度被设置成了1,于是修改输入框的maxlength属性为5 输入结果就可以了 来自 https://www.cnblogs.com/kele1997/p/7595839.html flag{CTF-bugku-0032} 3.Web基础$
BugkuCTF练习记录(一)WEB
小白成长记录
09-16 1040
WEB2 F12 控制台  找到flag 计算器 输入结果发现只能输入一位  F12找到 input属性 修改maxlength的值 WEB 基础$_GET 查看代码 URL中输入?what=flag  WEB 基础$_POST 查看代码 用Firefox 的 hackbar 插件 post what=flag  矛盾 函数 is_numeric() 检测变量是否为数字或...
Bugku web3 详细题解
日熙的博客
07-15 4219
题目: Bugku web3: http://123.206.87.240:8002/web3/ 1.链接打开后,显示如下页面: 点击确定又会出现下面的窗口。就这样一直会有对话框弹出,怎么管都关不掉 2.考虑这是浏览器脚本的设置因素,所以要关闭你浏览器里的脚本,在设置采用禁用即可。 但是我这个用的是火狐浏览器,上面有一个“阻止此页面创建更多对话框的” 选项,勾选即可,关闭脚本后网页就是一篇空白,查看网页源码,发现结尾处有一段注释,如下图: 3.发现这是一串Unicode编码,于是放入Unicode在线编
bugku 网站被黑/管理员系统/WEB4/输入密码查看flag 题目详解
夜车星繁的博客
05-22 2196
网站被黑 来到了bugku;打开“网站被黑”这道题; 页面如图; 接触此类题目,一般从后台扫描方面考虑; 御剑后台扫描工具 链接: https://pan.baidu.com/s/1bebPE9aNEVnV1_o1fgAMvA 提取码: w46z 扫描http://123.206.87.240:8002/webshell/结果如下,发现后台一个网站: 打开这个网...
BUGKU writeup
热门推荐
CHOOOU的博客
08-06 1万+
Reverse easy_vb soeasy easy_re f5查看v4和v5的值,再将十六进制转换成字符就行了 游戏过关 解题有好几种方式 1. 搜done,看到一个函数sub_45E940,F5,分析函数的内容,当然我不是这样做的,感觉麻烦 2. 修改程序逻辑,使得输入任意数直接弹flag,搜索loc_45F5B7,这个函数是判断是否满足灯全亮什么的,往下滑,下一...
用python写的一个实用小脚本-1
a3uRa的一个窝
08-23 1688
a=[75,69,89,123,74,50,115,97,52,50,97,104,74,75,45,72,83,49,49,73,73,73,125] b='' for i in a: b=b+chr(i) print(b) 可以将多个ascii码值,转换为字符串 例如 KEY{J2sa42ahJK-HS11III} 可以用记事本 替换字符 然后用脚本直接ascii转字符串...
BugKu -- 程序员本地网站
小水池
08-13 6633
程序员本地网站           100 http://120.24.86.145:8002/localhost/ 请从本地访问  这道题要求从本地访问,打开burpsuite抓包,加上:X-Forwarded-For: 127.0.0.1 就好了 X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡...
Bugku CTF WEB解题技巧分享与讨论
标题和描述中提到的知识点主要涉及CTF(Capture The Flag,夺旗赛)中的WEB类型题目,以及解题思路和writeup的编写和分享。下面详细说明这些知识点: 1. CTF概念解析 CTF是一种信息安全竞赛,通常分为多种类型,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值