CTF-WEB-bp

最新推荐文章于 2025-11-04 10:58:57 发布

原创最新推荐文章于 2025-11-04 10:58:57 发布 · 335 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#网络

打开场景进入界面，根据题目名称，该题需要进行bp进行爆破。

打开bp，根据提示选用相对应的字典top1000

字典链接：百度网盘请输入提取码

提取码：shzc

第一次攻击发现所有返回长度都一样，不知道哪个才是密码

随便打开一个在响应中可以看到有一段代码，定义了一个r={code:'bugku10000'}

而r.code=='bugku10000'时返回"Wrong account or password"

也就是返回错误

那也就是当r不等于‘bugku10000’时，就是密码正确。

接下来在攻击选项中，找到检索，添加{code:'bugku1000'}

通过区分响应包里面有没有{code:'bugku1000'}来进行判断,得到密码，密码：zxc123

查看render得到flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

年年思远道

关注关注

6
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

ctf-web

weixin_43150428的博客

11-04

3039

ctf-web 信息搜集认证绕过 SQL注入文件上传文件包含 PHP代码审计信息搜集源码泄露页面源代码敏感文件泄漏备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor

【CTF-Web】XSS漏洞学习笔记（附ctfshow web316-333题目）

brhhh_sehe的博客

12-19

1265

用户在输入框中输入图片地址存储到str变量中然后在xss()函数里面给id为demo的标签设置内容（innerHTML）内容是加载图片，所以我们输入时放一个无法加载的图片，然后触发onerror事件，在这个事件里面可以触发弹窗，注意构造payload的时候一定要把img标签进行闭合。自己语言的转义：我认为就是在该网站中，比如说存在留言功能，然后攻击者留言了一段恶意代码，这段留言是别的用户也可以访问到的，在其他用户查看这段留言的时候服务器进行解析，导致执行一些危险行为，这个整段过程就是跨站脚本攻击。

参与评论您还未登录，请先登录后发表或查看评论

buuctf 被偷走的文件

个人做题记录，大佬勿喷

12-27

782

直接把文件拖到kali里面，这里我改了一下名字改成1.pcapng，因为在控制台我不会输入中文。下载附件打开，得到一个.pcapng文件，直接双击打开（需提前自行下载wireshark）然后我去搜了一下什么是ftp协议，发现是文件传输协议，ok直接过滤掉其他的协议。这种题不太会做，去网上看了其他大佬的，说直接看ftp协议的。将这个压缩包放在window下面解压，发现要密码。因为之前做题都是4位数字，所以试了一下，可以。发现有个文件，binwalk -e一下。解压后直接得到flag。

CTF 流量包相关-流量分析(1)

qq_56815564的博客

04-28

1万+

前面的flag不论是直接给你明文，还是有一定的编码，都是比较简单的，像这些十成甚至九成都会是签到题，所以了解一下知道有这种情况就好，重点不再这边另外这里还是给出一下风佬的脚本吧，虽然我感觉用到的几率应该不会很大，如果要用的话，那个破空查flag的工具应该会比较好用，下载的话，风佬的git里面应该有，这里就不给了。

CTF实战数据包解题及思路

最新发布

bdfcfff77fa的博客

11-04

763

1.pcap文件简介pcap文件是常用的数据报存储格式，它是按照特定格式存储的一种文件格式，通过记事本等普通编辑工具打开pcap文件显示为乱码，pcap文件只能使用专业的数据包处理软件来打开，例如wireshark等。wireshark可以抓包、查看包以及另存为cap包等。PCAP文件构成PCAP文件由一个PCAP文件头和多个PCAP数据包组成，PCAP数据又由数据包头和数据包内容组成，PCAP总体结构如图 1所示。图1pcap总体结构图（1）文件头。

2016 SWPU CTF web1题目源码

10-31

2016 SWPU CTF web1题目源码

Web安全和渗透测试有什么关系？

Python_0011的博客

03-31

3866

做渗透测试的一个环节就是测试web安全，需要明白漏洞产生原理，通过信息收集互联网暴露面，进行漏洞扫描，漏洞利用，必要时进行脚本自编写和手工测试，力求挖出目标存在的漏洞并提出整改建议，当然如果技术再精一些，还要学习内网渗透（工作组和域环境），白盒审计，app，小程序渗透那些了......可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。总之，web安全包含于渗透测试，但不是渗透测试的全部。

ctf百度网盘资源分享

2302_81688883的博客

09-25

8498

链接: https://pan.baidu.com/s/18_3UIU1glLSOiXG9l19XoQ?pwd=1234 提取码: 1234 复制这段内容后打开百度网盘手机App，操作更方便哦。链接: https://pan.baidu.com/s/1FG2EVngS8akWlnnllo2IZQ?链接: https://pan.baidu.com/s/1ZqV_yT7pp01_GhRD_A_M_w?链接: https://pan.baidu.com/s/1TSCjdqU0pcOFPctbGsxDOg?

【CTF-Web考点讲解 jwt】

My笔记的博客

09-23

332

JWT, 全称是JSON Web Token，是一种易于使用、无状态的鉴权(Authorization)方式。简单的来说，就是服务端把JSON数据经过加密做成token，以授权给客户端。存在的风险敏感信息泄露、未校验签名签名算法可被修改为none签名密钥可被爆破格式解析解密时密钥不对就会报错正确时就会和刚刚解出来是一样的。

ctfhub-web-ssrf通关攻略

qq_64470109的博客

03-09

1239

题目提示我们访问本机的flag.php，那我们便去访问一下OK，出来结果。

PolarD&amp；N-CTF-web方向-困难_polard&amp；n 没人能拒绝猫猫 ctf

2301_82257383的博客

05-04

1307

而由于flag.php在源码中已经被包含了，我们直接输出flag这个变量就可以，因为一般都是在php执行中给flag这个变量赋值的，最终payload：然后就得到了flag。

CTF杂项总结

热门推荐

夏日の blog

02-01

2万+

目录一、流量分析篇二、文件头篇三、压缩包篇四、图片隐写篇五、音频隐写篇六、视频隐写七、取证八、Other 参考文章：一、流量分析篇通常比赛中会提供一个包含流量数据的 PCAP 文件，有时候也会需要选手们先进行修复或重构传输文件后，再进行分析。 PCAP 这一块作为重点考察方向，复杂的地方在于数据包里充满着大量无关的流量信息，因此如何分类和过滤数据是参赛者...

ctf之流量分析学习

一大口木的博客

11-13

3277

链接：https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd=9jmc提取码：9jmc前几道比较简单，是经常见、常考到的类型。

2021台湾省赛CTF-web-wp

Firebasky的博客

01-19

1247

重复了*CTF，队友做了*CTF的部分web，当时自己没有出呜呜呜，就去做台湾的比赛了。链接：https://pan.baidu.com/s/1oIXI7Ygt4k9e143kddXOgQ 提取码：u2pl 复制这段内容后打开百度网盘手机App，操作更方便哦 ...

wireshark数据包分析与取证web—流量分析

m0_74025111的博客

11-10

1737

1.使用Wireshark查看并分析虚拟机windows10桌面下的web.pcap数据包，然后根据所得信息进行确定服务器上发起这些请求的源 IP 地址作为flag提交。提交格式flag{xxxxxxxxx}3.攻击者在我们的服务器上发现开放端口后，似乎试图枚举我们 Web 服务器上的目录和文件。4.在攻击者枚举 Web 服务器上的目录之后，攻击者发出了大量请求，试图识别管理界面。提交格式flag{xxxxxxxxx}其实题目的意思就是去查看登录的指纹 flag{manager}

CTF流量分析

于高山之巅，方见大河奔涌；于群峰之上，更觉长风浩荡。

04-15

1596

是一个网络封包分析软件。网络封包分析软件的功能是获取网络封包，并尽可能显示出最为详细的网络封包资料使用WinPCAP作为接口，直接与网卡进行数据报文交换。

CTF数据分析题详解

qq_68163788的博客

01-04

2894

在CTF（Capture The Flag）比赛中，数据分析题通常涉及对提供的数据集进行分析、处理和提取有用信息的挑战。这些数据集可能是文本文件、网络流量、日志文件、加密数据等。解决数据分析题需要参赛者具备数据处理、编程和分析技能。由于每个CTF比赛的数据分析题目都有不同的特点和要求，因此解决方法也各有不同。通常需要参赛者具备良好的编程能力、数据分析能力和创新思维来解决这类挑战。

CTF:Modbus协议报文_恶意节点查找及错误报文分析

npu_nazi的博客

03-21

1671

所提供的压缩包是某工控业务网络中的实际捕获的通信数据包。请你发现并找出其中所有的Modbus/TCP包。仅仅针对Modbus数据包分析如下几点：发现Modbus通信的Master节点地址与相对应的slave节点地址。有几组master-slave? 请绘制业务包中的Modbus基本通信拓扑结构。

[CTF-Misc攻防世界]simple_transfer

2302_76688540的博客

05-13

780

发现主要是tcp协议，那我们搜索一下flag。打开文件后是一个流量包，我们去查看一下。文件分开，去打开文件包。