青少年CTF平台 Web签到

Web签到挑战
最新推荐文章于 2024-06-06 13:36:15 发布
原创 最新推荐文章于 2024-06-06 13:36:15 发布 · 4.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #php

本文介绍了一个简单的Web签到挑战,通过使用dirsearch工具扫描站点,发现了隐藏的/index.php.bak文件,并从中找到了flag。

题目说明

image
Web一星简单题,Web签到。
直接启动环境,等待30秒左右访问题目链接

做题过程

image
进入后,题目好像没有告诉我们什么有用的信息,
image
F12,看遍了题目源码,也没有发现flag,正当我怀疑这个题目是不是有问题的时候,我想起来首先要对站点进行扫描啊。
image
使用dirsearch扫描
image
发现/index.php.bak文件
image
找到flag。

青少年CTF-Web-Easy PingMe攻略
小苏
11-30 1250
分号字符,决定使用这个符号进行操作,经过这条命令可以得知本目录下还有一个文件名为【flag.php】,猜测flag就在该文件中,所以使用【1.1.1.1;这是因为他是php语言,且将flag赋值在了变量中,并没有将它进行输出!第二步:开始尝试注入,先测试是否会过滤一些字符之类的操作 这里以【1.1.1.1;见怪不怪了,尝试【CTRL+U】查看源代码看看是否有什么东西出现!end:遇到命令注入的可以尝试【;前言:根据题目意思得知该题目为命令执行【命令注入】第一步:启动靶场,然后打开链接查看原型。
[青少年 CTF] Web签到
piggcs的博客
04-03 803
扫出一个备份文件/index.php.bak,在地址输入/index.php.bak。输入指令python dirsearch.py -u http://xxxx。命令行输入 python,返回版本号则安装成功(环境配置成功)。此工具是Python3工具,所以先要部署Python3环境。建议默认安装到C盘 且 勾选PATH(自动配置环境变量)。进入Python官网后找到自己想要的版本和相应的系统。自动下载一个文件,用记事本打开,得到flag。安装完成后 win+r 输入 cmd。
{青少年CTF} Web签到 详解
lfc18950509270的博客
07-26 1466
又是除了几个字外一片空白,可能有的同学照例打开源代码看了起来,但是什么也没发现。这时候,我们可能就需要看一下它的目录下有没有什么文件里藏着flag。可以发现,扫描出目录下存在一个加index.php.bak的文件,直接复制到浏览器中,下载得到它,直接打开即可发现flag。至于它的安装和使用方法你们可以自己搜一下,或者你们需要在找个时间单独写一篇。这边使用的命令是dirsearch -u ,u指的就是url的意思。这样我们又有了一种思路可以拿到flag了,虽然也比较简单。进入之后可以看到是长这样的。
青少年CTF_WEB
cfy2401926342的博客
01-17 602
青少年CTF_WEB
青少年CTF训练平台 Web-Easy Web签到
xingjinhao123的博客
10-17 1612
青少年CTF训练平台 Web-Easy Web签到
青少年CTF训练平台Web签到
Fenghe2的博客
04-17 362
随后用dirsearch 扫了一下目录发现index.php.bak备份文件。访问index.php.bak成功获得flag。burp抓包看了看响应头 也什么都没发现。打开页面f12大法 什么都没发现。
青少年CTF 简简单单的题目
最新发布
03-07
青少年CTF 简简单单的题目
青少年CTF训练平台-WEB-部分wp
SwBack的博客
04-04 3419
扫描发现备份文件 打开发现flag直接上传,然后获取flag木马地址,通过扫描目录发现。直接添加请求头user-agentt: zerodiumsystem(‘cat /flag’);连接之后,查找具有权限的命令根据提示直接发现flag 提示说明没有中文但是仍然错误,查看shadow,通过john破解密码 用户名后有$y,则表明密码已使用 yescrypt 进行哈希处理指定format参数 新手的登录 使用提示的user账号登录之后抓包修改cookie为admin。发包,得到flag访问之后直接查看js
青少年CTF训练平台 Web-Easy PingMe02
xingjinhao123的博客
10-22 1809
青少年CTF训练平台 Web-Easy PingMe02
青少年CTF-web-signin
m0_63047884的博客
12-17 952
qsnctf-web-easy-signin,pathinfo漏洞上传绕过
[青少年CTF]Web—Easy CheckMe1-8 by 周末
个人文章分享
12-03 2695
web部分CheckMe1-8,仅供参考
ctfshow web web签到--web14
2301_81040377的博客
06-06 1013
要让回显有用的东西我们不可能回显几万,靶机都没了,所有挨着试。我想手注的,但是不知道为什么没有回显了只能sqlmap了。本来是想直接命令执行的,发现过滤了就用这个来看目录。SQL注入,我之前是没遇到这种格式的长了新姿势。php伪协议,不知道flag文件所以不能用。可以手注空格绕过,但是我的还是没有回显。显然我们不能用正常的SQL注入了。v1必须为字母v2必须为数字。查看源码原来我们的木马太长了。那么我们就需要用特殊的密码。刚好闭合,管理员身份就过了。我们并不知道密码,这里用。访问F12获得查询语句。
青少年CTF Misc-Easy 签到 WP
weixin_55265137的博客
10-13 500
青少年CTF Misc-Easy 签到 WP
ctfshow-WEB-web1签到
热门推荐
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块的第一关,这一关的flag藏在注释中,由于开发人员的粗心,没有及时删除开发过程中的代码注释,从而留下了敏感信息 页面中只有一句 where is flag?,我们按F12(或者Fn+F12)进入开发者模式,查看页面的源码 Ctrl+c将源码中的注释复制下来,很明显是加密后的内容,需要进行解密,从而获取flag <!-- Y3Rmc2hvd3sxNTA5MDI4My03ZWM3LTQ0ZTQtOWJmNS03YWIwMzllNDU4OTN9...
青少年CTF平台-Web-PingME
zxsctf的博客
10-09 1700
题目难度一颗星,五十分。
青少年CTF-Web-帝国CMS1-3通关记录
zxsctf的博客
12-08 1951
本次进通过平台内题目进行,非真实环境。 首先下发题目链接我们首先先找后台看看后台地址为随后,经过dirsearch进行扫描,得到了一个www.zip 访问扫描到的www.zip,得到网站源码使用D盾扫描,得到eval后门。蚁剑链接得到根目录的Flag这道题目和CMS01差不多,但是好像又有天差地别管理员发现你入侵了他的服务器,管理员修改了密码并删除了后门那么我们优先尝试管理员是不是给了一个弱口令经过弱口令爆破登陆成功密码为123456789这道题目考察了一个帝国CMS的漏洞利用,我们先看看帝国CMS03有什
青少年CTF平台-Web-POST&GET
zxsctf的博客
10-09 678
一星简单题,看我如何给你过了。启动环境,等待三十秒先喝口水。
Web青少年CTF练习平台-文章管理系统
cq_tanyu的博客
02-21 2926
在这道题上面困了有一会儿,之前一直拿到的是假FLAG,所以简单记录一下 直接尝试用SQLmap跑 后在数据库word表的articles列 拿下FLAG: 得到假的FLAG 根据提示 尝试转换思路,用SQLmap执行shell 查找“flag” 发现目录,拿下FLAG
CTF show----web 解题笔记(web签到~web6)
weixin_45908624的博客
11-22 5534
web签到~web6 解题笔记
青少年ctf练习平台web题解
01-19
### 青少年CTF练习平台Web挑战题解和教程 #### Web EasyMD5 解析 在青少年CTF擂台挑战赛2024 round#1中,有一道名为EasyMD5的题目。这道题目的设计非常适合初学者尝试解决,尽管它要求参与者具备一定的web安全基础...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值