MOCTF web writeup

最新推荐文章于 2019-05-30 23:20:46 发布
最新推荐文章于 2019-05-30 23:20:46 发布
阅读量229 收藏
点赞数
分类专栏: 信息安全 文章标签: MOCTF 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43862283/article/details/89555271
版权
本文分享了在CTF竞赛中解决Web挑战的经验,包括如何规避网页限制、利用开发者工具修改JS代码,以及通过robots.txt文件寻找线索。文章详细描述了几个具体的解题过程,从简单到复杂,为参赛者提供了宝贵的实战技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言
今天发现一个不错的平台,就试了试水,写一波web题的wp
规则:
1.不允许攻击比赛平台,违者直接封IP封号处理
2.Flag形式为moctf{*******},如果有特殊的会在题目中说明

一道水题
打开一堆青蛙
在这里插入图片描述
打开源码,搜索moctf就找到了flag了

还是水题
在这里插入图片描述
发现输入框不能填写,原因是网的js代码限制了,使用开发者工具修改网页js代码
在这里插入图片描述
然后在给输入框输入moctf就可以得到flag了

访问限制
访问页面页面回显在这里插入图片描述
使用BP,修改抓取到的内容
在这里插入图片描述
机器蛇
在这里插入图片描述

上下左右还不能用,算了,查看源码,发现有个robots.txt,访问robots.txt发现moctf

Tamevic’s Ctf-Web writeup@BUUCTF Web合集(更新中...)
Tamevic的博客
06-20 1037
Tamevic’s Ctf-Web writeup@BUUCTF Web 前言 大学所有课程都结束了,接下来还有考试和其他一些排就要毕业了。从大二开始一直在说什么时候能有大块空闲时间好好学学ctf,但是课程排比较紧张,一直没得空。现在好不容易有了大块时间,说开始就开始。 这次选择BUUCTF的Web题,这里题目基本都是历年各大赛事的原题,质量比较高,便于积累。 HCTF2018 WarmUp 环境一起就是一个滑稽…查看源码,提示去看source.php source.php里是源码 经过百度得知这
180125 逆向-18-01-Re
whklhhhh的博客
01-27 1605
1625-5 王子昂 总结《2018年1月25日》 【连续第482天总结】 A. 18年1月逆向WP B. 比赛的时候在冬令营,当天比较忙所以没来得及做。。 现在复现一下-0-可惜只有这一题是逆向拖入64位IDA反编译,main函数倒是摆在面前,然而有一千多行的伪代码。。。OTZ在linux中运行,发现有一句提示输入Show me the right key and I will g
MOCTF Web writeup (持续更新)
qq_41358038的博客
03-15 626
MOCTF-Web writeup (持续更新) 1.一道水题 查看源代码,flag在最下面 2.还是水题 按F12,选中这个文本框 将划横线部分删去,将4改为5,输入moctf,提交一下即得flag 3.访问限制 打开后显示 只允许使用NAIVE浏览器访问! 用BP抓包,send to repeater 将Firefox改为NAIVE,GO一下即可 4.机器蛇 打开之后是一个很无聊的小游戏,...
MOCTF writeup web篇(持续更新)
ReganYue's Blog
05-09 1665
web1:一道水题 查看源码。get flag。 web2:还是水题 审查元素,删除disable,将长度改为5,输入moctf。get flag 。 web3:访问限制 burpsuite改user-agent:NAIVE Accept-Language: zh-HK。get flag。 web4:机器蛇 贪吃蛇好不好玩? 题目机器蛇让我想到robots.txt robots.txt里面有fl...
奇怪汉字-moctf
Xi4or0uji
03-18 1003
由口中 由由夫 由由口 由由口 由中由emmm....还真的是第一次见,查了下是当铺密码102 117 110 110 121对应ASCII码解密就行了
9月赛web1有关的知识点
heiseweiye的博客
09-26 598
1.PHP执行系统命令的多种方式 1.1exec() string exec ( string $ command [, array &$ output [, int &$return_var ]] ) php代码: <?php exec("whoami"); ?&
2017秋季赛Web全测试训练赛wp【
Sp4rkW的博客
10-16 4513
0x00编辑器的锅 看到题目名字就差不多猜到了,swp文件泄露,http://114.55.36.69:20380/.login.php.swp,下载拿到swp文件,打开虚拟机,启动kali,利用命令行执行vim -r login.php.swp,修复看到源码,很明显的name和password,输入,直接getflag 0x01 服务发现 这题awvs没扫到有啥漏洞,表哥给的提示是rsyn...
2018第二届强网线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
2018年的第二届强网线上赛中,存在一系列难度较大的Web题目,这些题目主要测试参赛者的Web全技能,包括但不限于密码学、SQL注入、XSS攻击、CSRF漏洞等。 首先,第一层绕过机制涉及到字符串比较和MD5哈希。...
网络全管理职业技能竞赛Web writeup1
08-03
网络全管理职业技能竞赛Web writeup1 在本次网络全管理职业技能竞赛Web writeup中,我们将探讨Web全领域中的一个CTF挑战,涵盖了SQL注入、错误信息处理、Web应用全等多个方面的知识点。 SQL注入 在本挑战...
[2021东华]Web Writeup1
08-03
Java 反序列化漏洞及利用 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,发生在 Java 对象的序列化和反序列化过程中。该漏洞可以导致攻击者执行恶意代码,盗取敏感信息,或者控制服务器。 ...
网络全管理职业技能竞赛Web writeup_合天网学院-程序员宝宝 - 程序员宝宝1
08-03
网络全管理职业技能竞赛 Web writeup 本文将围绕网络全管理职业技能竞赛 Web writeup 进行详细的知识点讲解。 网络全管理职业技能竞赛 Web writeup 介绍 网络全管理职业技能竞赛 Web writeup 是一个关于...
——西湖论剑5月web——未完成的网站1
recover517的博客
05-30 2682
web 未完成的网站1
-被劫持的神秘礼物
weixin_30724853的博客
12-26 1773
题目说明 某天小明收到了一件很特别的礼物,有奇怪的后缀,奇怪的名字和格式。小明找到了知心姐姐度娘,度娘好像知道这是啥,但是度娘也不知道里面是啥。。。你帮帮小明?找到帐号密码,串在一起,用32位小写MD5哈希一下得到的就是答案。 解压后用wireshark打开文件之后,搜素http数据包 发现post提交的数据,右键追踪http流 拼接用户名密码得到adminaad...
-元数据存储
weixin_30911809的博客
12-27 134
扫描到.DS_Store 文件 Mac每个目录都会有个文件叫.DS_Store,它是用于存储当前文件夹的一些Meta信息。 下载.DS_Store 文件,会发现存在showmeflag.php 直接访问showmeflag.php得到flag 转载于:https://www.cnblogs.com/hell0w/p/8125827.html...
十月 writeup
Assassin
10-15 5729
总结说会的正题不难,不会的实在是难的可以…web1 iphone6直接将user-agent改成手机的就可以了,很简单不截图web2 jshunt这个题目我没有调出来来,但是明显就是xss,很困惑。 首先扫描了一下目录发现了tmp目录和up目录。up目录明显就是我们上传的jpg文件,有文件类型限制,但是没有 MIME检查,写入后是base64加密后的内容。而tmp内容更是直截了当,可以构造<ht
-babysql
weixin_30300225的博客
12-26 1118
1. 库名 ?id=1 and extractvalue(1,(select group_concat(0x3a,schema_name) from information_schema.schemata))# 2. 表名 ?id=1 and extractvalue(1,(select group_concat(0x3a,table_name) from ...
-绕过看门狗
weixin_30814329的博客
12-26 1305
1. 输入and 1=1发现非法提示 通过大小写混淆可以绕过 2. 经测试,发现有5个字段 3. 查数据库和当前用户 4. 查表 UniOn SelEct 1,(SelEct Table_Name fROm InfOrMation_sChema.tAbles WhEre tAble_sChema='news' lImit...
2017合天全国高校网联赛专题赛--赛前指导练习题web进阶篇Writeup
4ct10n
08-14 4854
趁着放假,再刷一波题目
一月 web
wywwzjj
01-30 767
babyGo &amp;amp;amp;amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { protected $skyobj; public $aaa; public $bbb; function __construct() { $this-&amp;amp;amp;amp;gt;skyobj = new...
"2021东华Web Writeup1:EzGadget反序列化漏洞分析
2021年东华Web Writeup1比赛中,EzGadget提供了源码并打开了IDEA进行分析。在源码中发现了一个反序列化的漏洞点:在ToStringBean这个类的unser方法中,通过"/readobject"接口接收data参数并进行反序列化操作。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值