攻防世界XCTF-WEB入门12题解题报告
WEB入门题比较适合信息安全专业大一学生,难度低上手快,套路基本都一样
需要掌握:
- 基本的PHP、Python、JS语法
- 基本的代理BurpSuite使用
- 基本的HTTP请求交互过程
- 基本的安全知识(Owasp top10)
先人一步,掌握WEB安全入门诀窍,相信我,你不会后悔滴~
攻防世界XCFT刷题信息汇总如下:攻防世界XCTF黑客笔记刷题记录,收藏一下哈~
第一题:考察浏览器控制台的查看
解题报告:
右键不管用,那就打开控制台咯~
提交flag:cyberpeace{2d7647b131421b597501c7e63ddaa879}
第二题:考察网站robots页面的查看
解题报告:
进入robots.txt找到了线索
顺着线索找到了flag:cyberpeace{3b9d4fcca0aaba7f46f09e6403019a80}
第三题:考察备份文件名的后缀
解题报告:
index.php加个bak不就是备份文件嘛,自动下载了
从文件中找到了flag:Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}
第四题:考察HTTP请求和应答报文
解题报告:
从控制台可以看到cookie中的值为cookie.php,访问这个页面就是咯
从HTTP的应答头里面找到flag:cyberpeace{46907c4246480ad4f5b356e1e2f1817a}
第五题:考察在线编辑页面能力
解题报告:
查看源代码,发现有个disable字段,把它改成able不就可以了嘛
浏览器右键选择,检查,就可以在线修改啦
现在按下这个按钮就可以得到flag:cyberpeace{6ac76b64319ed77f47fe1479f6e25c6f}
第六题:考察弱口令
解题报告:
弱口令我试了2次,第一次试了admin admin错了,第二次试了admin 123456对了,直接就拿到flag:cyberpeace{286d648347709bbd11ac479ee0a75f2b}
第七题:考察PHP类型比较
解题报告:
- 要求a等于0,并且a是true,那么a可以是字符串:"ailx10"
- 要求b不是数字,并且b大于1234,数字后面加空格就可以了
构造一个合理的请求就拿到flag:Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}
第八题:考察GET请求和POST请求
解题报告:
代理走起来,修改GET为POST,添加一个body,key是b,value是2即可
走你,拿到flag:cyberpeace{c6d40b542f6325b7330e9cbc9f094dbd}
第九题:考察代理修改请求头的字段
解题报告:
- 添加X-Forwarded-For字段
- 添加Referer字段
拿到flag:cyberpeace{4079533fd7bdb1611a30d037f70983bc}
第十题:考察一句话木马的利用
解题报告:
在index.php的页面下,通过POST请求一个shell字段,值为system("ls");
,试图看看当前页面下有哪些文件,找到了flag.txt
访问这个文件,拿到flag:cyberpeace{cccd7f5bd0cf3b90460309eaf001d1ea}
第十一题:考察命令注入
解题报告:
试了一下几个命令,127.0.0.1;ls /home
,在这个里面发现了线索
打印这个文件127.0.0.1;cat /home/flag.txt
,拿到flag:cyberpeace{0b95886087d98c05d0773266fde8b347}
第十二题:考察JS代码审计
解题报告:
这题是真的坑,浪费时间的东西,这也太无聊了。
这个dechiffre()函数不管输入什么结果都是一样的,也就是说这是个干扰项,那密码还能在哪呢?下面一串16进制编码。
\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30
第一步:将16进制转为10进制数字
b="\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"print(bytes(b).decode('ascii'))#输出:55,56,54,79,115,69,114,116,107,49,50
第二步:ascii码数字转字符串
b="55,56,54,79,115,69,114,116,107,49,50"
b=b.split(",")
passwd=""
for bb in b:passwd += chr(int(bb))
print(passwd)
#输出:786OsErtk12
于是得到flag:cyberpeace{786OsErtk12}
至此,CTF-WEB入门题通过了~
攻防世界XCTF-WEB入门12题解题报告相关推荐
- 攻防世界XCTF-MISC入门12题解题报告
MISC属于CTF中的脑洞题,简直就是信息安全界的脑筋急转弯.你说它渣,它也有亮点,不好评说.这块最亮眼的入门题就属隐写术,出题人骚的狠.但是我感觉未来其中一个重点,就是大数据安全,从海量流量中捕获恶 ...
- 攻防世界XCTF-MOBILE入门9题解题报告
说实话,这几天被逆向的恐怖思维,深深的吓着了,真的要抱腿腿了,叫我失眠了好几晚,我觉得逆向分析是CTF中最难的,求腿腿指点迷津啊,我决定不闷头自己研究了.@欠费烦 感谢大佬提供的帮助,让我有了继续刷下 ...
- 攻防世界web高手进阶php_rce,php_rce 攻防世界xctf web
php_rce 首先了解ThinkPHP5.x rec 漏洞分析与复现https://blog.csdn.net/qq_40884727/article/details/101452478 var_p ...
- 攻防世界的杂项入门题之功夫再高也怕菜刀
攻防世界的杂项入门题之功夫再高也怕菜刀 继续开启全栈梦想之逆向之旅~ 这题是攻防世界的杂项入门题之功夫再高也怕菜刀 下载附件,发现是pcapng文件. 这里积累第一个经验:在查找资料中学到这种流量文件 ...
- 攻防世界MISC进阶区刷题记录
文章目录 攻防世界MISC进阶区刷题记录 Ditf 运用stegextract进行分离 glance-50 gif图片分离组合脚本 hit-the-core Test-flag-please-igno ...
- 糖果(2019第十届蓝桥杯省赛C++A组I题) 解题报告(状压dp) Apare_xzc
糖果(2019第十届蓝桥杯省赛C++A组I题) 解题报告(状压dp) xzc 2019/4/5 试题 I: 糖果 时间限制: 1.0s 内存限制: 256.0MB 本题总分:25分 [问题描述] ...
- 网络流20+4题解题报告(已更前20题)
链接:网络流20+4题解题报告 代码预览:Github 转载于:https://www.cnblogs.com/water-mi/p/10538858.html
- 2021字节跳动校招秋招算法面试真题解题报告--leetcode19 删除链表的倒数第 n 个结点,内含7种语言答案
2021字节跳动校招秋招算法面试真题解题报告--leetcode19 删除链表的倒数第 n 个结点,内含7种语言答案 1.题目描述 给你一个链表,删除链表的倒数第 n 个结点,并且返回链表的头结点. ...
- 【LeetCode】163.Missing Ranges(Medium)(带锁题)解题报告
[LeetCode]163.Missing Ranges(Medium)(带锁题)解题报告 题目地址:https://leetcode.com/problems/missing-ranges/(带锁题 ...
最新文章
- 怎样用VB编写.DLL动态链接库文件
- 绘图: matplotlib核心剖析
- linux 下面编译FFMPEG
- 洛谷P5724、P5727、P5728、P5729题题解(Java语言描述)
- prompt的使用oracle,SQL Prompt怎么用?SQL Prompt使用教程
- java jdk 8 中文文档
- WiFi图标在任务栏里不见了,提示:适配器Qualcomn Atheros QCA9377 Wireless Network Adapter遇到驱动程序或硬件相关的问题
- openstack虚拟机支持USB 重定向(usb映射)
- 前端html项目总结,前端实习项目总结一
- C++多线程03 Lambda表达式与caII once
- 【亲测有效】Ubuntu系统开机速度慢解决办法
- 英语在线听力翻译器_英语翻译_在线英语听力室
- 很好用的数据库数据字典【可导出为word , excel文件】
- 谷粒商城九商品服务之商品属性及仓储服务todo
- 51nod1462 树据结构
- Flutter 混合开发 - 03 百度地图定位功能 ios 篇
- java 捕获 nullpointerexception,Android上无法捕获java.lang.NullPointerException
- 求(2~1000)一个数的最大质因数
- python提取word文件中的图片,并上传阿里云OSS,返回html图片标签
- 浅谈redux基本概念