网络安全CTF之Web基础

已于 2022-09-22 20:54:11 修改
阅读量7.4k 收藏 73
点赞数 5
分类专栏: 网络与安全 文章标签: web安全 安全 CTF
于 2022-09-21 21:39:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_25953411/article/details/126980398
版权
本文介绍了CTF竞赛中常见的Web类挑战,包括源代码隐藏、GET与POST传参技巧、robots协议利用、备份文件分析及Cookie操作等。通过实战案例解析,帮助读者掌握Web渗透测试的基础技能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

Web类的考试,在CTF比赛中十分常见。本人从计算机专业转网络安全发展,属于半路出家,一知半解,如有总结不到位的地方,欢迎交流分享。

训练平台

攻防世界Web

正文

Web基础中,常见的考点如下:

1、源代码隐藏

打开网页,显示 FLAG is not here。
在这里插入图片描述

F12查看源代码,取得flag
在这里插入图片描述

2、GET和POST传参

GET和POST是 HTTP请求的两种基本方法。 主要的考点是GET参数通过URL传递,POST放在Request body中。
打开网页,要求如下:
在这里插入图片描述
通过在网页url后添加如下代码,完成要求

?a=1

这个是时候又要求b=2传参,通过在火狐调试台上传参,,完成要求
在这里插入图片描述
最后取得key
在这里插入图片描述

3、robots协议

robots协议用于防爬虫, 考点就是看你能不能找到该日志文档所在的位置。
如下图
在这里插入图片描述
把php贴到url中,通过get请求拿到flag

4、备份文件

考点是 源码泄露 1
网站运维人员都会备份,常见的备份格式有很多。
基础题常考的格式文件就是.bak

在这里插入图片描述

5、Cookie

缓存,F12调试,会有意外收获。
基础题考察你细不细致
从网络请求中发现请求cookie.php
在这里插入图片描述
然后,我们通过前面讲的 get传参到URL中,观察响应头request拿到flag。

参考文献

  1. 常见源码泄露 ↩︎

ctf-web
weixin_43150428的博客
11-04 2963
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
CTF——简单的《WEB
焦虑的焦虑
09-10 3596
WEB入门笔记
CTF web快速入门
LUOYU125的博客
10-29 1084
CTF web快速入门
CTFweb方面题型有哪些?
lz5217x的博客
03-23 943
CTF中的Web题型涵盖了Web应用的各种漏洞和攻击手段,参赛者需要掌握SQL注入、XSS、CSRF、文件包含、命令注入、目录遍历、代码审计、SSRF、XXE、逻辑漏洞等知识,才能在比赛中快速找到并利用漏洞获取flag。• 题型描述:通过发现Web应用的配置错误(如错误的文件权限、未关闭的调试模式等),获取敏感信息或权限。• 题型描述:通过构造恶意SQL语句,攻击Web应用的数据库,获取敏感信息(如用户数据、flag等)。• 发现文件包含漏洞(如`include`、`require`函数)。
CTF----Web真零基础入门
B_cecretary的博客
01-17 2万+
前置知识: TCP/IP体系结构(IP和端口): IP是什么:是计算机在互联网上的唯一标识(坐标,代号),用于在互联网中寻找计算机。 访问网站时:域名会通过DNS(解析服务)解析成IP。 所以,互通的前提条件就是双方都能找到对方的IP地址。 内网(局域网)IP和公网(互联网)IP: 内网IP:路由以内的网络,可以连接互联网,但是互联网无法直接连接内网(需要端口映射) 如何判断自己的电脑是内网还是公网: --在本地电脑命令行输入jipconfig,ifconfig(Linux,macos)查看
CTFWEB基础
qq_53058639的博客
03-17 5424
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
网络安全CTF竞赛常用解题思路总结:涵盖密码学、网络安全、操作系统、Web安全等领域技巧
最新发布
05-14
内容概要:本文总结了CTF(夺旗赛)中常用的解题思路,旨在帮助参赛者提升在网络安全竞赛中的综合能力。文章涵盖了多个领域,包括基础与高级密码学、隐写术、网络协议与数据包分析、二进制与逆向工程、操作系统...
国科大web安全中期CTF.pdf
11-22
一、Web安全基础知识 在开始之前,让我们先了解一些基本概念。Web安全是指保护Web应用程序免受恶意攻击和未经授权的访问的安全措施。常见的Web安全威胁包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等。 二...
网络安全-CTFWeb-HackBar(Chrome)
01-22
网络安全-CTFWeb-Hackbar(Chrome)涉及的文件和内容反映了网络安全Web开发中的实际应用,通过各种工具和文件的配合使用,开发者可以深入学习和掌握网络安全知识,有效提高网站和网络应用的安全性。在信息时代,随着...
网络安全CTF Web题型实战练习与解题技巧总结:Bugku平台典型题目解析及应用
05-13
适合人群:对网络安全感兴趣的学习者,尤其是希望提高Web安全技能的初学者和有一定基础安全爱好者。 使用场景及目标:①帮助读者掌握CTF竞赛中常见的Web安全问题及其解决方法;②提升读者对Web应用漏洞的理解和...
网络安全CTF Web题型流量分析:Wireshark工具使用与实战案例解析-流量分析及数据提取方法介绍
05-13
适合人群:对网络安全CTF竞赛感兴趣的初学者,尤其是有一定网络基础并希望深入了解流量分析技术的安全爱好者。 使用场景及目标:①掌握Wireshark的基本操作和高级功能,能够熟练运用过滤器进行精确的数据包捕获;...
CTF基础知识及web
m0_60484735的博客
04-21 8253
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录CTF基础知识一、CTF简介二、CTF赛事介绍三、CTF竞赛模式1.解题模式(Jeopardy)2.攻防模式(Attack-Defense)3.混合模式(Mix)四、CTF竞赛内容国内外著名赛事1、国际知名CTF赛事2、国内知名CTF赛事五、如何学习CTF1、分析赛题2、常规操作3、入门知识推荐书籍 CTF基础知识 一、CTF简介 CTF(Capture The Flag)夺旗比赛,在网络安全领域中指的是网络安全技术人员之间进行.
CTFweb安全基础
weixin_45574957的博客
03-15 1612
CTF WEB安全
CTF基础知识-Web
m0_59648828的博客
04-22 2987
文章目录 一、CTF基础知识 1、简介 2.竞赛 3.比赛形式 4.题目 二、Web (一)信息泄露 1.目录遍历 2.PHPINFO 3.备份文件下载 一、CTF基础知识 (一)、CTF简介 1.打开ctf简介,开启题目,进入到页面 2.打开附属的题目,点获得更好的阅读体验,在下方即可得到答案flag 3.把flag填入,提交 ( 二)、竞赛模式 1.打开竞赛模式,开启题目,进入到页面 2.打开附属的题目,点获得更好的阅读体验,在下方即可得到答案flag 3.把flag填入,提交 (三)、比
CTF/web
05-15 137
题目简述:做法1.动图:查看源代码2.计算器:打开控制台ctrl shift c,修改mathmax3.$_get:在url后添加?what=flag4.$_post:查看源码,使用firefox hackbar 进行post data5.矛盾:is_numeric() 函数用于检测变量是否为数字或数字字符串。读代码,明确要求满足不为数字且值为1输入即可获得flag//你要知道1的任何次...
CTF-WEB入门学习笔记
m0_62945162的博客
06-13 860
CTF-WEB学习笔记分享
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.youkuaiyun.com/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTFweb安全
weixin_45722313的博客
04-02 9997
web安全 CSRF 简介 CSRF,全名 Cross Site Request Forgery,跨站请求伪造。很容易将它与 XSS 混淆,对于 CSRF,其两个关键点是跨站点的请求与请求的伪造,由于目标站无 token 或 referer 防御,导致用户的敏感操作的每一个参数都可以被攻击者获知,攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。 CSRF 类型 按请求类型,可分为 GE...
CTF入门:网络安全与渗透测试基础知识指南
"这份资料是针对CTF比赛和网络安全竞赛的渗透测试入门指南,涵盖了从基础知识到实战工具的全面内容,旨在帮助初学者系统地学习和掌握网络安全技能。" CTF(Capture The Flag)比赛是一种网络安全竞赛,参赛者通过...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晓梦林

都看到这里了,支持一下作者呗~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值