[极客大挑战 2019]Http

最新推荐文章于 2025-04-08 20:07:54 发布
原创 最新推荐文章于 2025-04-08 20:07:54 发布 · 126 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https

这篇博客记录了作者在BUUCTF比赛中解决Http相关问题的过程,包括如何发现并查看隐藏的源码,以及通过修改Referer和X-Forward-For字段来应对挑战。作者提到了在解决过程中遇到的困难,如非本地访问的限制,展示了在网络安全和Web安全领域中的实践应用。

BUUCTF刷题记录

[极客大挑战 2019]Http

查看源码。。。一开始找不到,藏的真深。。。
在这里插入图片描述
真难找!!

复习一遍请求头
在这里插入图片描述
修改来源 Referer
Referer: https://www.Sycsecret.com
在这里插入图片描述
提示修改浏览器
在这里插入图片描述
提示不是本地访问
修改X-Forward-For:127.0.0.1
在这里插入图片描述

BUUCTF -> Web [极客挑战 2019]Http(详解)
m0_72986388的博客
09-25 3410
之后界面会显示“No!" 是一个URL,指向一个名为 "Sycsecret.buuoj.cn" 的网站或资源。这样就会得到flag之后将flag输入到靶场中这道题就完成了。User-Agent:标识发起请求的用户代理(常为浏览器)。(因为做笔记,所以重新做的,所以显示早就解出这道题了。Referer(请求头字段)表示指示请求的来源页面。所以我们要把此段的浏览器改为Syclover浏览器。"理解为一个链接地址。这样我们就得到了解决本题的有用信息。
[BUUCTF][极客挑战 2019]Http
朋克归零膏的博客
10-13 915
在CTF中修改http头的操作常有BUUCFT另一题,常用到的值User-AgentReferer。
[极客挑战 2019]Knife
xlcvv的博客
04-05 1225
就真白给shell,菜刀连接: 在虚拟终端cat一下flag就好了:
BUUCTF [极客挑战 2019]LoveSQL 1
CrotZZ的博客
07-07 1964
#和- - 表示注释,url中的#号是用来指导浏览器动作的,对服务器端无用。所以http请求中不包括#,因此使用#无法表示注入,- -(空格)在传输过程中空格会被忽略,导致无法注释 可以使用–+的方式+会被解释成空格,也可以–%20或者#可以写成%23 首先是用万能密码尝试 有成功的返回,试着看看有多少字段 ?username=1’ order by 4%23&password=123有错误返回 获取回显点位 ?username=1’ union select 1,2,3%23&passw
BUUCTF_[极客挑战 2019]Http解题思路
时光不老的博客
01-10 717
[极客挑战 2019]Http
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
m0_73770225的博客
11-27 1227
极客挑战2019http(改包)和BUU BRUTE 1 (爆破)
buuctf [极客挑战 2019]Http1
weixin_61060664的博客
11-13 3540
buuctf刷题过程,我是菜鸡,有问题就是你对
[极客挑战 2019]BabySQL
2201_75522495的博客
04-08 500
这个题目还是挺有意思的,最让人烦的是不能输入空格,当然,可以用()括号代替,但是在哪加括号又非常的困扰,还是需要量尝试。但是这只显示flag的前一部分:flag{e7d1681d-ee6f-4979-a5,这是因为报错注入最多只显示32个字符。得到后面的部分:~f-4979-a545-b5f192162b71},把两张相拼即可得到完整的flag。空格被限制了,=号也是,但是()括号和like 可以绕过此限制。分别是:id,username,password。来爆库 ,显示数据库名:geek。
极客挑战2019】LoveSQL解题
Bird&Bird
10-25 2816
1、打开靶机:BUUCTF在线评测,选择web---->【极客挑战2019】LoveSQL 打开被测试站点,是这个样子的,是上一题EasySQL的延续。 2、EasySQL那道题采用万能密码,我们也直接使用万能密码试一下,结果如下: 直接给出了密码。 使用正确的用户名和密码登录一下,结果还是 那使用MD5库碰撞一下,结果也没碰撞出来。 3、继续寻常注入吧。 爆破有多少列(字段数) username=admin&password=6ec1cab79005129..
极客挑战2019 Secret File
BlueDoorZz的博客
07-11 434
0x00 题目类型:文件包含,php伪协议。 0x01 查看源代码,发现Archive_room.php,点进去看看。 点击SECRET按钮,发现有个页面一闪而过,而后重定向到了end.php,退回去用burp抓包。 访问secr3t.php,发现源码。 <html> <title>secret</title> <meta charset="UTF-8"> <?php highlight_file(__FIL
[极客挑战 2019]Secret File
weixin_55026246的博客
08-19 404
[极客挑战 2019]Secret File
CTF学习笔记——[极客挑战 2019]BuyFlag
Obs_cure的博客
02-16 3958
一、[极客挑战 2019]BuyFlag 1.题目 2.解题步骤 MENU界面下有buyflag的界面,按F12看看 查了一下is_numeric()这个函数,他的作用是判断输入是否是数字的。如果是纯数字返回true,如果不是返回false。这道题注释的代码逻辑是要输入一个非纯数字的字符串且等于404,密码才能正确。 然后顺手百度了一下这个函数的漏洞,在这里贴出来: 这个函数和mysql结合起来就容易出问题,那是因为is_numeric判断的时候,当碰到16进制数的时候,也会判断成数字 is_num
[极客挑战 2019]LoveSQL全网最详细WP
siyue_secret的博客
04-03 277
是为了让union前的查询错误,查不到结果,避免影响union后查询数据库名的显示。照理来说,我们需要逐个测试当前查询的表是哪个表,但是此处。看起来像flag的东西出来了,往右拖动页面可以看到真正的flag值。按照ctf的做题经验,应该先爆这个表。(6)爆username和password的值。(5)然后爆l0ve1ysq1表中的字段名。尝试使用union注入,一步一步来。此时可以看到页面正常显示,没有报错。由页面返回的信息可知,数据库名为。(4)然后爆geek数据库中的表。即按照第一列的值对结果排序,
极客挑战2019(复习一下漏洞)
qq_62046696的博客
07-17 1356
这种一般都是备份文件了,其实不太喜欢备份文件,扫目录太慢了,打开dirsearch进行扫目录了,其实是先尝试了一下index.php.bak发现没有,扫出来了www.zip。这道题难就难在,不按套路出牌,Flaaaag里面的f14gawsl字段,里面的值时NO,真正的flag在F1nal1y表里面的password字段。2、再尝试闭合方式,账号输入1,1’,1"判断,当输入为1’时报错,所以判断结果语句应该为单引号闭合(提示记得密码填上东西)...
[极客挑战 2019]FinalSQL
pakho_C的博客
08-01 1249
利用id=0^1为NO!Clickothers~~~id=1^1为ERROR!到最后一个页面发现提示尝试第6个页面,观察到url中的id,输入6得到。过滤了不少,但是异或^没被过滤,并且没有报错页面,那么应该是盲注。flag不在此处,查询另一张表的password字段。提示error那么应该存在sql注入,尝试永真式。Flaaaaag表字段为idfl4gawsl。爆破出表名为F1naI1y,Flaaaaag。[极客挑战2019]FinalSQL。使用异或的特性相同为0不同为1测试。...
ctf 极客挑战2019 http
最新发布
09-20
由于提供的参考引用中未涉及CTF极客挑战2019中与HTTP相关的题目解析、解题思路或相关资料,下面基于通用的CTF中HTTP题目解题思路进行说明。 在CTF比赛里,HTTP相关题目通常会围绕HTTP协议的各类特性、请求与响应...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值