攻防世界--web--高手区

最新推荐文章于 2021-09-26 17:47:36 发布
原创 最新推荐文章于 2021-09-26 17:47:36 发布 · 301 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客内容提及得到flag,虽信息简短,但核心围绕获取flag这一关键行为。

显示HELLO WORLD
发现flag
Django
输入127.0.0.1
url编码
%80报错
加前缀
搜索database
找到flag
发现漏洞界面
注册账号
ikun登录
爆数据库
爆数据库
爆表
爆字段
爆用户名
注册c3tlwDmIn23
得到flag
题目主界面
中国蚁剑配置
发现flag.txt
得到flag
dirsearch扫描
base64加密后的源码
pattern的\e参数
发现可疑文件

XFF伪造
发现flag.php
得到flag
云平台报表中心
爆出id=2333
得到flag
扫描发现是git泄露
GitHack下载源码
提交几次使钱为5000000
得到flag
爆数据库
爆表
爆字段
得到flag
dirsearch跑出来是git泄露
strpos函数
assert

得到flag
题目主界面
发现提示
得到flag
得到flag
找到站点bug
点击Reset抓包
成功修改admin密码
进行XFF伪造
发现提示
文件上传
修改上传文件格式
得到flag得到flag
回显上传文件
回显上传文件
回显上传文件
回显上传文件
回显上传文件
修改filename的内容进行注入
点击Go
爆数据库
爆表
爆字段
得到flag

iReverse
关注
攻防世界web
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界-web高手进阶篇-warmup
qq_42016346的博客
02-06 1万+
打开题目链接后只有一个滑稽??(那就看看它里面有啥吧) 想啥呢,是审查源码啦 可以看到有注释source.php,访问后可以看到其源码 又发现一个hint.php文件,先访问再说 提示我们flag在ffffllllaaaagggg里面,此时题目已经完成一半啦 接着看回source.php源码 可以看到最后的include 是可以动态构造参数的,那应该就是解题关键了 不...
攻防世界web(高手) wp
vegetable223的博客
11-28 387
baby_web 观察题目“baby_web”,感觉有什么深意,不管了,先打开环境 出现下面这个页面: 就一句“hello world”?,再一看网址,显示的URL是1.php。 再结合题目,豁然开朗,一般网站的初始页面都是index.php。在url中输入index.php,但是网页又自动跳转到1.php。 这时候想到利用burp抓包,如下图: 打开index.php这个 查看返回(Response) 发现flag静静的躺在这里。 Training-WWW-Robots 首先打开环境,看到一段英文
攻防世界Web高手进阶
xuhc25的博客
05-07 589
攻防世界Web高手进阶 文章目录1、aNNaNNaNNaN-Batman 1、aNNaNNaNNaN-Batman 题目: 下载下来得到附件,解压。 用txt打开 发现是一个JavaScript脚本。 看着有些乱码,试看看弹窗内容,把末尾的eval改成alert,然后后缀改为html。 双击浏览器打开,就能看到弹出内容。 这回看到是正经的代码了,整理得到如下代码。 function $(){ var e=document.getElementByld("c").value; if(e.
攻防世界-Web高手进阶-FlatScience
feng的博客
09-13 876
前言 我只能说,神仙题。最神仙的就是最后的那个脚本,其他的真的还好。自己现在还没学python,还暂时看不懂那个脚本,只能直接利用了。正确12月之前把Linux学好后开始学python,然后回过头来把这个脚本自己写一遍。 WP 打开后发现是发现有点类似一个藏了很多论文的平台,分别把下方的链接都打开看看,结果并没有什么用。于是dirsearch扫一下目录,发现了类似登录和管理员的页面: 我分别进去看看,发现都需要进行登录。在f12查看源码的时候,我在login.php里面发现了:<!-- TODO:
攻防世界web高手进阶(一)
weixin_44866139的博客
03-13 2066
Training-WWW-Robots baby_web 因为提示了初始页面是哪个,所以查看111.198.29.45:39340/index.php 直接给跳转到了http://111.198.29.45:39340/1.php 抓包试试 发现了flag 标题 ...
攻防世界-web高手进阶
zji
04-25 7316
文章目录攻防世界-web高手进阶一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界-Web高手进阶-warmup
feng的博客
09-08 859
前言 这题是以前做过的题目,当时并没有开始写WP。今天看文件包含的时候偶然看到了一个知识点,这个知识点正好在这题里出现了而且我觉得还是比较重要的,所以我又重新做了一遍这个题目,并写了WP,这样方便以后在翻博客找知识点的时候能很容易找到。 WP 这题打开之后是一个大大的表情。这题如果是MISC的话我们肯定得对这个图片进行一些分析,鉴于这是个Web题而且是比较简单的Web题,直接f12查看源码,发现提示我们source.php 我们进入source.php,发现了源码,进行代码审计。 <?php
攻防世界 web高手进阶 10分题 biscuiti-300
闵行小鱼塘
11-07 1448
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是biscuiti-300的writeup
攻防世界-- web高手进阶-- writeup汇总
yisosooo的博客
09-22 6417
随做随记,争取记录详细思路,以供后续反思。 第一题-- cat 按照提示输入loli.club,没有任何回显。输入baidu.com也没有任何回显。再次尝试输入127.0.0.1,出现: 可知,submit其实是ping命令,而且好像只对ip地址起作用。尝试运行系统命令: 失败。输入127.0.0.1 | ls 同样失败。但是发现URL编码可以传入。当输入到%80时,出现报错信息,...
攻防世界Web高手总结
qq_53755216的博客
03-01 247
1.baby_web 试了一下 无论输入什么都会跳转到 /i.php 所以应该是redirect了 抓包 之前在做ctfhub时也有一题重定向 于是用bp再抓一下 发现flag (其实直接用浏览器抓也有 , 眼瞎没看见。。。。。。。。。。 2.Training-WWW-Robots 可以看到 题目想让我们学习一下Robots exclusion standard 那我们就学呗 但我们好像得翻墙 所以 直接解题算了 随便访问一下robot.txt (好像做过一道robots题 翻译一下
[CTF]攻防世界web高手进阶Writeup(更新ing)
糖小喵
04-29 524
baby_web 解题方法: F12→Networks→刷新抓包→完成
攻防世界web高手进阶write up(1-12)
zonei123的博客
06-10 901
文章在公众号 攻防世界web高手进阶write up(1-12)
攻防世界高手(一)
qq_52126646的博客
09-26 413
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
XCTF Web 高手001:baby_web
立志成为最会敲代码的dancer,最会locking的程序猿
04-02 435
题目: WP: 打开网页发现只有一句话 无论怎样修改URL的后缀都会跳转至1.php 此时直接F12查看源码 在Network目录下查看原地址的头信息 在响应头信息下找到flag 也可以直接burpsuite抓包查看,不过在本题下显然浏览器自带的检查更方便 ...
攻防世界———MISC 高手题解
小锤队长的博客
10-14 2万+
目录 1,base64stego 2,easycap 3,Avatar 4,What-is-this 5,签到题 6,Training-Stegano-1 7,Excaliflag 8,Get-the-key.txt 9,glance-50 10,4-2 11,misc1 12,embarrass 13,肥宅快乐题 14,小小的PDF 至此 我在攻防世界中已经 遇到...
XCTF MISC 高手 Banmabanma
duwanglai的博客
01-06 403
Banmabanma 附件是一张png图片 很明显这是让我们扫条形码 尝试了很多网站都扫描失败了,最后终于找到一个能用的https://online-barcode-reader.inliteresearch.com/ flag{TENSHINE}
攻防世界--WEB高手进阶(持续更新)
qq_43081170的博客
03-20 1535
baby_web
xctf攻防世界web新手练习--write up
热门推荐
qq_43081170的博客
07-05 3万+
** 文章目录 ** view source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开题目后显示FLAG is not here,而且题目描述提示鼠标右键不管用了。这时想到F12键打开开发者工具,查看器可以查看页面源代码。F12----查看器直接得到答案。 get post **题目描述:**X老师告诉小宁同学HTTP通常使用两种请求方法,你...
攻防世界-baby_web详解
最新发布
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值