[实践]必火网络安全-CTF-初级赛-笔记
声明:
由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。
环境:
训练网站:https://www.bihuoedu.com/ctf/ctf01/
工具:FireFox,Kail Linux
一、流程:
1. 第一关
思路:打开F12-网络,当我们输入密码,并未发出任何网络请求,可以判断密码验证在前端完成。
解题:网页页面右击->查看网页源代码,进行代码审计,得到密码为[go ]。
2.第二关
思路:根据提示,需要对图片进行分析。
解题:
1.保存图片->使用Kali Linux的strings命令,打印该图片中所有可打印字符串。
2.windows系统下,直接使用记事本打开即可。
3.第三关
思路:明显判断出给出的字符串是URL编码后的。
解题:使用URL编码解码即可。
4.第四关
思路:使用BurpSuite抓包,判断提交数据后有无网络请求,在进行下一步。在Respond中得到地址。
解题:使用BurpSuite的重发器验证了响应的数据中,含有了下一关地址。
5.第五关
解题:首先测试密码的验证时在前端,还是后端。输入一个数字,发现有网络请求。
输入123,浏览器发送了一个Get请求,但是404。
根据提示,我们使用的通用密码的其中的两个字母,尝试爆破。
首先编写脚本生成字典。取常用密码admin和root中字母进行组合。
使用BurpSuite爆破。
发现没得得到预期结果。
我们使用另一个思路--前端代码审计,猜测可能是前端验证密码,如果密码错误就发送一个Get请求。
由于打开后必须输入密码,我们使用插件将js禁用即可,进行右击->查看源代码。
通过简单的代码审计,得到密码为or,也确实是我生成的密码字典中的一个。
因此,如果不对get请求进行爆破,对js依次尝试,也可得到正确密码。
我们启用js,输入密码即可通关。
[实践]必火网络安全-CTF-初级赛-笔记相关推荐
- 必火CTF闯关(1)
CTF初级赛 第一关 右击检查元素可以发现有个判断语句,复制粘贴即可过关 第二关 把图片保存到桌面,打开后看到下一关地址复制到url中即可 第四关 url解码即可 第五关 输入账号密码后,错误没有返回 ...
- 网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
对于想学习或者参加CTF比赛的朋友来说,CTF工具.练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助. CTF在线工具 首先给大家推荐我自己常用的3个CTF在线工具网站,内容 ...
- 不服来战!青藤发起“雷火引擎”公测赛 百万赏金寻顶尖白帽
2020年春天,以5G.人工智能.云计算为代表的"新基建"蔚然成风,着眼国家数字经济体系建设,打造数字经济体系底座的"新基建",无疑成为中国经济整体应对未来发展 ...
- 2022年“网络安全”赛项湖南省赛选拔赛 任务书
2022年"网络安全"赛项湖南省赛选拔赛 任务书 2022年"网络安全"赛项湖南省赛选拔赛 任务书 A模块基础设施设置/安全加固(200分) B模块安全事件响应 ...
- 什么是网络安全CTF有何意义?该如何入门?
福利:[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享 !] 什么是网络安全CTF?有何意义 ?该如何入门 ? 什么是网络安全CTF? CTF在网络安全领域中指的是网络安全技术人员 ...
- Android初级开发笔记-- activity启动模式的学习(1)
第一次学习Android中一个很重要的概念,启动模式.文章记录的也只是一些入门知识,随着学习的深入还会有activity启动模式的学习(2)和(3). 下面分三个小点说一下对启动模式的理解区别以及如何 ...
- 2015年必火的五个Html5移动开发工具推荐
2015年必火的五个Html5移动开发工具推荐 转载于:https://www.cnblogs.com/zhujiabin/p/4785359.html
- mysql查询数据为0的所有字段6_MySQL8.0 初级学习笔记(六)查询数据
MySQL8.0 初级学习笔记(六)查询数据 MySQL8.0 初级学习笔记(六)查询数据 查询有多种方法:单表查询,使用集合函数查询,连接查询,子查询,合并查询结果,为表和字段取别名,使用正则表达式 ...
- Java 3D编程实践_Java 3D编程实践——网络上的三维动画[学习笔记]
评论 # re: Java 3D编程实践--网络上的三维动画[学习笔记] 2006-08-24 23:41 gy # re: Java 3D编程实践--网络上的三维动画[学习笔记] 2007-03-2 ...
最新文章
- 【Linux】Linux 简单操作指令之磁盘管理
- SpringDataRedis对Redis的数据类型的常用操作API的使用代码举例
- kettle数据源连接的集群设置
- 虚拟服务器放2个网站,如何一个虚拟主机空间放两个网站的基本原理
- Java web application——基础
- JavaScript学习(六十七)—正则表达式学习总结
- jQuery打造智能提示插件
- 案例分享:巧用工具提升无源码系统的性能和稳定性
- 呦乐乐_百科讲解大全
- paip.uapi 获取网络url内容html 的方法java php ahk c++ python总结.
- unzip 解压缩文件命令
- 火山PC_POST教程
- convertTo的用法
- 简单实现京东分类页面
- 批量修改后缀名的方法
- python 基类是什么,python 基类是什么意思
- 查看nvidia gpu共享内存大小
- 仲裁器设计(4)Weighted Round Robin
- JavaScript中栈内存与堆内存分别是什么?
- STM32F4端口复用
热门文章
- 软件需求说明书(GB856T——88)基于协同的在线表格forture-sheet
- enspar启动失败40_AR启动失败错误代码40终极解决方案
- 屏幕复制 android,一键扫出截图中文字!屏幕文字复制App
- 《电信3.0——第二章》
- 静态方法不能调用非静态方法的原因
- 秋月之谋:黄金1504空再度击穿千五一线,原油反抽迎战前高阻力!
- 5个时间序列预测的深度学习模型对比总结:从模拟统计模型到可以预训练的无监督模型
- 计算机等级考试数据库三级模拟题3
- db2与mysql编目_关于DB2相同的数据库编目问题
- ICMP timestamp 协议原理和实现