ctf web常用小姿势点

最新推荐文章于 2024-12-19 00:59:40 发布
最新推荐文章于 2024-12-19 00:59:40 发布
阅读量972 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35544379/article/details/78215329
本文详细介绍了HTTP请求中的Content-Type字段含义及其与文件扩展名的关系,解释了URL编码的原理与应用,并列举了一些常见的HTML转义字符。这对于理解Web开发中的数据传输和展示方式至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 HTTP Content-Type

文件扩展名Content-Type
.*application/octet-stream
.docapplication/msword
.gitimage/gif
.htmltext/html
.xmltext/xml
.icoimage/x-icon
.jpeimage/jpeg
.jpegimage/jpeg
.jpgimage/jpeg
.jpgapplication/x-jpg
.wmaaudio/x-ms-wma
.wmvvideo/x-ms-wmv
.avivideo/avi
.dllappliaction/x-msdownload
.exeapplication/x-msdownload
.mp3audio/mp3
.txttext/xml

0x01 ASCII表

此处为十进制的ASCII值

ASCII值控制字符备注
47~570~9
65~90A~Z*
97~122a~z*
特殊字符
32空格
33
34
35#
37%
39
40(
41)
42*
43+
44.
45-
46.
47/
63?
124|

0x02 URL编码

原则:使用安全的字符去表示不安全的字符(url中某些字符容易引起歧义)
原理:将需要转码的字符转为16进制,然后从右到左取4位(不足4位直接处理),每两位当作一位,前面加上%,编码成%XY格式。
(对于非ASCII字符,使用的编码字符集取决于当前文档使用的字符集)
例:
空格ASCII码是32,对应16进制是20,那么urlencode结果是%20
例:
盛,ASCII码是30427,对应16进制是76DB,那么urlencode结果是%76%DB
如果是使用escape函数进行编码则出现的结果为:%u76DB

特殊字符0xASCII码值备注
空格20*
#23*
%25*
27*
+2B*
!21
22
&26
|7C
(28
)29
*2A
=3D
?3F
~7E

0x03 常用HTML转义字符

字符十进制转义字符
&#34&quot
&%#38&amp
<&#60&lt
>&#62&gt
不断开空格&#160&nbsp
Pz_mstr
关注
ctf web题型 常用姿势及工具使用技巧 PPT资料包
Sumarua的博客
06-22 1514
ctf web题型 常用姿势及工具使用技巧 PPT资料包 文件目录 如下:
ctfweb题型找到php后怎么做,CTFweb总结
weixin_39521009的博客
04-01 2993
身为一只web小白,但也刷了不少CTF方面的web题,趁着今天有时间,坐下来总结一下关于web的解题方法。0x01 直接查看源代码解题方法:击右键,查看页面源代码将hidden改为text,value=0改为value=1,击Enter。出现下图:这段代码的意思就是,将我们传给PIN的值给a,如果a=-1982774773616112831283716166172777371616672727...
CTF web安全经典例题讲解
10-22
该内容为CTF赛题web安全经理例题讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种题型讲解,图文结合,适合新手学习。
ctf-web常用网页
qq_35033983的博客
12-04 636
urlencode&decode: http://web.chacuo.net/charseturlencode
CTF-Web常用语句
tomatoff的博客
04-16 327
1、爆库、爆表、爆字段、爆值常用语句 爆库: union select 1,2,3,database(); # 爆表: union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database(); # 爆字段: union select 1,2,3,group_concat(column_name) from information_schema.columns w
whaleCTF MISC_Writeup(姿势大全)
Pad0y的博客
04-21 2644
这两天抽空把whaleCTF的MISC部分的题目整理了下,比较基础,writeup写得简陋了些,如有错误欢迎各位师傅指正,持续更新 Find 直接上stegsolve神器,会发现一张反色的二维码,保存下来再反色即可,得到flag flag{hctf_3xF$235#\x5e3} 被我吃了 winhex下可以看到图片包含了一个zip,分离至新文件保存为zip即可得到flag flag{Welcome...
XCTF 攻防世界 Web题的基本知识
weixin_43456810的博客
11-28 2213
XCTF 攻防世界 Web题的基本知识和解题思路 大多数情况下,robots协议指的就是robots.txt index.php的备份文件:/index.php.bak 页面中如果出现了不能按的按钮,可能是代码中设置了disable参数,将网页源代码中的disable=""删除或者改为false(注意:safari浏览器可能无法方便的直接修改源代码,可以换为firefox浏览器) 遇到php的源代码,注重分析,如果只是简短的几行代码,并且有类似于$a, $b这样的变量,可以直接在url的后面添加上 /?
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
brhhh_sehe的博客
12-19 1126
用户在输入框中输入图片地址存储到str变量中 然后在xss()函数里面给id为demo的标签设置内容(innerHTML) 内容是加载图片,所以我们输入时放一个无法加载的图片,然后触发onerror事件,在这个事件里面可以触发弹窗,注意构造payload的时候一定要把img标签进行闭合。自己语言的转义:我认为就是在该网站中,比如说存在留言功能,然后攻击者留言了一段恶意代码,这段留言是别的用户也可以访问到的,在其他用户查看这段留言的时候服务器进行解析,导致执行一些危险行为,这个整段过程就是跨站脚本攻击。
BUUCTF web(九)
m0_46616663的博客
08-29 1319
BUUCTF刷题笔记
CTF中文件上传及文件包含总结
None安全团队
12-15 4982
【文件上传】 一、前端检查 前端对文件后缀进行检查,该种通过抓包修改数据包即可解决 二、文件名检查 (1)大小写绕过 在windows下,可以将后缀写为pHp (2)unicode 当目标存在json_decode且检查在json_decode之前,可以将php写为\u0070hp (3)php3457 该项为apache专属 关键在/etc/apache2/mods-available/php5.6.conf这个文件,满足.+\.ph(p[3457]?|t|tml)$,都会被当.
文件上传漏洞+CTF实例
hyq99999的博客
09-25 1277
文件上传漏洞
CTF中的一些常见骚操作(可以没有,但不能不会)
kali_Ma的博客
07-19 2179
0X01:前言 近期刷了挺多的ctf题,总结了一些ctf常见的骚姿势。 0X02:来啦来啦,骚姿势总结 一. 弱类型比较 ctf中见怪不怪了,经常已经知道题目要考察的是什么知识了,传参都要用个弱类型比较来为难一下我们。 ‘=’,‘’,‘=’ 一个等于是赋值,两个等于是将两个变量转相同的类型再比较,三个等于先比较变量类型是否相同再比较值。 非相同类型比较 如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行 先看几组比较结果: 当我们用字.
解析漏洞讲解、filepath、content-type绕过检测上传文件
qq_38135094的博客
04-10 9959
文件上传漏洞是指上传了一个可执行的脚本文件,从而获得执行服务器相关的权限和指令。如何上传文件,有很多种方法,而上传需要注意的形式也有很多。 要完成这个攻击,要满足以下几个条件: 首先,上传的文件能够被Web容器解释执行。所以文件上传后所在的目录要是Web容器所覆盖到的路径。 其次,用户能够从Web上访问这个文件。如果文件上传了,但用户无法通过Web访问,或者无法得到Web容器
四种常见的 POST 提交数据方式对应的content-type取值
郭大神的博客
10-08 2808
application/x-www-form-urlencoded  这应该是最常见的 POST 提交数据的方式了。浏览器的原生 form 表单,如果不设置 enctype 属性,那么最终就会以 application/x-www-form-urlencoded 方式提交数据。请求类似于下面这样(无关的请求头在本文中都省略掉了):  POST http://www.example.com HTTP...
南邮ctf-题解(停止更新)
reigns的博客
08-17 7596
由于专业名字叫网络空间安全,所以感觉不学安全知识对不起专业名= =,本人大学四年完全没有接触过信息安全知识,发现本科母校有个网络安全训练平台,就开始练练手,做做ctf入门训练吧。 南京邮电大学网络攻防训练平台:http://ctf.nuptzj.cn/challenges# &gt;_签到题: 就是直接查看网页源代码。 &lt;html&gt; &lt;title&gt;key...
设置Content-Type类型实战
qq_42550235的博客
07-09 1954
结合fs发送文件数据 Content-Type需要设置charset字符编码,只有字符才需要设置。 // 引入http var http = require("http"); var fs = require("fs"); // 创建 var server = http.createServer() server.on("request", function(req, res) { var url = req.url if(url === "/"){ res.end("") fs.readFil
ctf-htctf-misc
zhang14916的博客
07-24 685
1.GoogleCTF-Letter 下载得到一个pdf文件,不过username和password被涂黑了,直接复制粘贴出来即可获得密码 2.DDCTF (╯°□°)╯︵ ┻━┻ 看到一串较长的16进制字符串,首先想到的是在ascii上的移位加密,不过发现不需要移位,直接将16进制数通过ascii码转过来即可(对于大于128的16进制数求模) miwen="d4e8e1f4a0f7e1...
codeblocks出现Encoding Changed The saved doucument contained characters which were illeal in the
qq_43813140的博客
05-10 5514
目录 查出问题的步骤: 解决方式 出现这个问题是因为编码出现了问题,如果我没猜错,你肯定是复制东西啦 前几个星期出现的问题,还是记录一下吧 查出问题的步骤: 拿出其中一个例子来说明问题吧,看看到底是发生了什么情况,你复制了这个路径, 你放在记事本(默认是utf-8编码),看上去没有任何的问题,接下来就是见证奇迹的时刻啦 你转成ANSI也就是gbk编码, 之后再打开看,明显多出东西啦 解决方式 这个问题解决方式就是老老实实的去复制路径(如果你是在网上复制了代码,建议在
ctfweb常见知识
最新发布
01-27
### CTF Web 安全常见知识 #### 漏洞类型 1. **SQL 注入** SQL注入是一种常见Web应用层攻击技术,通过将恶意的SQL语句插入到输入字段中执行。在CTF比赛中,常常涉及利用SQL注入获取敏感信息或绕过身份验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值