CTF综合测试低难度过程记录

最新推荐文章于 2024-11-29 15:24:22 发布
最新推荐文章于 2024-11-29 15:24:22 发布
阅读量565 收藏
点赞数
分类专栏: 网络安全 文章标签: 安全 shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40835644/article/details/106379695
版权

CTF综合测试低难度过程记录

Kali:192.168.159.129

靶机:192.168.159.136

 

 

上传shell

 

捕捉到数据包,点击Forward

 

点击shell.jpg执行

 

 

并没有返回shell

 

发现忘记去掉注释了

而且漏掉一步:

 

 

可以看到反弹的shell了

执行执行~

 

sql语句末尾一定要加分号

 

得到密码:asd123***

 

参考教程: https://www.jianshu.com/p/f5ce485fc083?tdsourcetag=s_pcqq_aiomsg

https://blog.youkuaiyun.com/qq_43233085/article/details/103500902

 

河南省第三届职业技能大赛 网络安全(世赛选拔)项目样题
Aluxian_的博客
09-03 2505
4.使用 JavaScript 中的方法,对上一个步骤中得到的结果的字符进行操作,将它们用空格分隔、反转顺序,然后再连接起来。5.通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,登录成功后找到页面中的十字星,将十字星中页面内容进行下载,将下载到的文件解密,并将解密后的文件内容作为FLAG提交;4.通过本地PC中渗透测试平台Kali对服务器场景Server2007中的网站进行访问,登录成功后找到页面中的月亮,将月亮中的信息解密,并将解密后的信息作为FLAG提交;
2022全国职业技能大赛-网络安全赛题解析总结⑥(超详细)
Aluxian_的博客
05-18 1045
2022全国职业技能大赛-网络安全赛题解析总结(自己得思路)模块A 基础设施设置与安全加固(20分)有什么不懂得可以联系博主!交流群:603813289 模块A 基础设施设置与安全加固(20分) 一、竞赛项目简介 “网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 二、竞赛注意事项
CTF练习:综合测试难度
qq_43233085的博客
12-11 1214
CTF练习:综合测试难度环境准备信息收集fuzz注入上传shell进入靶机与提权 靶机地址: 链接: https://pan.baidu.com/s/1dUDG3Lxj2-It9_EC0T7XyA 提取码: 4s12 环境准备 开启两台机器,一台靶机一台kali攻击机,配置好桥接网络,使其在同一网段内。 查看攻击机kali的IP,为172.19.91.8 查看靶机的IP,为172.19.91....
7-1/7-2CTF夺旗入门教程--综合测试难度
高冷的宅先生
05-09 833
前言 B站所有的视频课程7-1这一课,都不全,没有怎么绕过登录界面的过程 百度云保存的视频课也没有,51cto官网视频课疑似也缺少这一部分 实在没有办法,就自己摸索解决了一下,毕竟刚入门 接上了视频课的部分,以此记录一下 1. 信息探测 #扫描主机服务信息以及服务版本 nmap -sV 192.168.2.114 #快速扫描主机全部信息 nmap -T4 -A -v 192.168.2.114 #探测敏感信息 nikto -host http://192.168.2.114 dirb http://192.
CTF入门_常规测试
m0_46203901的博客
09-07 875
burp爆破、Base64解码,以及越权漏洞
CTF-web-貌似有点难
zhz444614971的博客
04-01 423
CTF-web 0x01:貌似有点难 题目链接:http://ctf5.shiyanbar.com/phpaudit/ python代码: import requests s=requests.Session() url='http://ctf5.shiyanbar.com/phpaudit/' headers={ # 'X_FORWARDED-FOR':'1.1.1.1', 'Con...
CTF 三大测试靶场搭建:DVWA、SQLi-LABS、upload-labs 靶场部署教程(VM + CentOS 7 + Docker)
zatongtong的博客
01-18 3728
基于 CentOS 7 系统,利用 Docker 部署 DVWA、SQLi-LABS、upload-labs 靶场,靶场的初始化,Docker 基本使用
ctf刷题记录
enhengzZ的博客
04-23 1575
基础认证题 页面中依据提示 可猜测用户为admin 可弱口令尝试(admin)------失败 暴脾气,,,词典爆破! 下载其页面提供的词典 抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 载入词典 此处开始走弯路:1.词典所加载的均为密码,缺少用户名(发现问题后,度娘学习正则表达式,很好,又学了个奇奇怪怪的姿势)2.词典爆破后一直都是401返回,长度均为404,没有出现200返回(原因未明) ----------------------------
【回忆录】大一阶段 回顾记录
L2510408497的博客
06-17 507
大一快结束了 最近在期末考试 作为一个 热爱技术 的崽子 回顾总结一下还是必不可少的,日后也是一段回忆 事件C,Python飞机大战编写LAMP架构网站渗透与逆向 C,Python飞机大战 当时还是大一上学期寒假的时候,我们大一专业课只有C语言一门 因为大一C语言花了三周就把基础学完了,然后一周学完了python然后又花了五天左右写了个一千多行代码的飞机大战,还是蛮开心的 为了看懂python爬虫爬下来的数据,去学HTML 然后发现还有个叫CSS的东西就一起顺带学了,再到后来发现HTML和CSS只能做静态网
【Web安全深度剖析】:国科大期末CTF策略与技巧深度解读
随后,文章深入讲解了Web安全的实战策略,涵盖漏洞识别、利用脚本进行攻击测试以及有效的安全加固方法。此外,本文还提供了解决CTF竞赛中各类Web挑战的具体技巧,以及深入理解安全协议和应对移动端Web安全挑战的知识...
ctf---pzctf赛前测试
weixin_40709439的博客
11-22 1488
title:pzctf赛前测试题 0x01 phpmyadmin后台文件包含 phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发。 CVE-2018-12613 PhpMyadmin后台文件包含分析,影响版本如下: phpMyAdmin 4.8.0和4.8.1受到影响。 第一题:点进去是一个phpmyadmin登陆后台(普通权限) 第一时间想到是into oufil...
网络渗透测试实验四 CTF实践
weixin_74109869的博客
12-27 1113
1.实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。(Dirb 是一个专门用于爆破目录的工具,在 Kali 中默认已经安装,类似工具还有国外的patator,dirsearch,DirBuster, 国内的御剑)截图。进入后台,找到任意一个PHP页面,然后利用php-reverse-shell.PHP的代码修改该页面的代码。4.利用whatweb探测目标网站使用的CMS模板。
CTF初级漏洞测试学习
weixin_49898946的博客
04-28 917
穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法。Web安全中的暴力破解也是利用尝试所有的可能性最终获取正确的结果扫描目标主机服务信息及其版本扫描目标主机的全部信息探测敏感信息探测目录假设探测到了敏感目录:/secret。
实验吧ctf-web-貌似有点难
n0l的博客
04-02 528
貌似有点难 http://ctf5.shiyanbar.com/phpaudit/ 首先,打开链接 如图,提示view the source code, 那就打开看看呗: 查看代码 通过代码可以发现,后端调用一个名为GetIP的函数,按顺序检查"HTTP_CLIENT_IP","HTTP_X_FORWARDED_FOR"和"REMOTE_ADDR"这三个地址,如果其中有一个不为空,那么将...
CTF题目合集
cgygsw的博客
01-26 4713
在给定的代码中,call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method(也就是调用ping函数的方法 也就是destruct下面那个ping函数),并将 $this->args 数组作为参数传递给该方法。反序列化之后就会调用wakeup这个函数 : 这个函数的内容 是对参数的内容进行了循环遍历 执行WAF函数的内容。
渗透测试思路 - CTF(番外篇)
YingZi's Blog
08-03 1181
渗透测试思路 ​ Another:影子 (主要记录一下平时渗透的一些小流程和一些小经验) CTF(番外篇) ​ 笔者是一个WEB狗,更多的是做一些WEB类型题目,只能怪笔者太菜,哭~~ 前言 ​ 本篇仅介绍笔者记忆中比较深刻的CTF类型题目 ​ (基本就是水文章,水字数) WEB 语言 ​ 笔者在WEB题目中更多的是PHP类型的题目~~(因为PHP是世界上最好的语言!)~~ ​ 因为PHP的兼容性,易开发,环境易搭建
新手必看——ctf六大题型介绍及六大题型解析&举例解题
最新发布
2401_85025893的博客
11-29 1824
意为“夺旗赛”,是一种信息安全竞赛形式,广泛应用于网络安全领域。CTF竞赛通过模拟现实中的网络安全攻防战,让参赛者以攻防对抗的形式,利用各种信息安全技术进行解决一系列安全问题,最终获得“旗帜(Flag)”来获得积分。Jeopardy(解题模式):参赛者通过解答题目,获得Flag,从而获得积分。这些题目通常涵盖了信息安全的多个领域,难度从基础到高级都有,适合各个层次的选手。Attack-Defense(攻防模式):参赛者组成团队,进行攻防对抗。
CTF 这个看起来有点简单
樱缘之梦
05-11 4324
这个看起来有点简单分值:10 来源: 西普学院难度:易 很明显。过年过节不送礼,送礼就送这个 格式: 解题链接: http://ctf5.shiyanbar.com/8/index.php?id=1 解法: 1.手工注入   id=1' id=1 and 1=1 id=1 and 1=2                  
CTF入门(简单说一说,不做详细介绍)
2201_75362610的博客
03-08 282
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。赛事介绍:一、解题模式(Jeopardy)
CTF密码学与渗透测试的综合安全研究
CTF比赛通常包括多类型的信息安全挑战,包括但不限于密码学、渗透测试、漏洞挖掘、安全认证、安全研究、安全培训和企业安全等。这些领域不仅为参赛者提供了展示和提升技能的机会,也为网络安全领域的人才提供了实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值