BaseCTF2024 web
wireshark工具打开, 导出对象 --> http , 存在一个flag.php文件, 打开是反过来的flag, 写个python小脚本将其反过来就行。, 但是那个地址里面的内容是不可控的, 里面也不存在一个这样的内容, 所以可以想到需要一个地址里面的内容可控, 这个时候就会想到使用。打开fl
2024-网鼎杯第二次模拟练习-web02
简单记录下做题情况
NSSCTF—日志分析
搜索 tmp 解码:../../../../../../../../../../../../../../../../../tmp/sess_car&content=func|N;单位某应用程序被攻击,请分析日志,进行作答:分析攻击流量,黑客使用的是______类读取了秘密文件。单位某应用程序被攻击,
SHCTF-2024-week2-wp(web)
考点:sql注入看到查询语句,直接sql注入说明只有两列查看当前数据库查看’ctf’数据库下面的表查看’flag’下的字段查看’scretddata’的内容根据提示,说明在注释里面找到flag。
CTFshow--Web--代码审计
service/service.php , 也存在 clearCache()的调用, 而且在logout.php里面require了service.php,查询不到内容, 会在数据库中创建一个数据 123 , 那么这个123就会作为一个返回的数据, 用以跟用户输入的密码进行比较 , 相匹配的话就行登
文件上传 00截断
在CTF(Capture The Flag)竞赛中,00截断(Null Byte Truncation)是一种利用Web应用程序对上传文件处理不当的技巧,尤其是在处理文件名或文件内容时。00截断依赖于某些编程语言或系统在遇到ASCII null字节(\x00)时的行为,即终止字符串解析或文件处理。
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
【Web】记录Polar靶场<困难>难度题一遍过
最后还剩了两题,有点累了,后面有空就补上。
CTF-Web习题:2019强网杯 UPLOAD
本题涉及知识点:代码审计、文件上传漏洞、反序列化漏洞
CTF — 压缩包密码爆破
在CTF比赛中,密码爆破压缩包(如ZIP或RAR文件)是一个常见的任务。针对ZIP压缩包的密码爆破主要是使用工具ARCHPR完成的。
2024年 ISG 网络安全技能竞赛“观安杯”管理运维赛初赛WP
2024年 ISG 网络安全技能竞赛“观安杯”管理运维赛初赛WP
【Web】LIT CTF 2024 题解(全)
直接console里打印出flag,注意谷歌浏览器不行,这里我用的是火狐。或者先读环境变量/proc/1/environ得知pwd为/app。因为一直while true,网页会卡死无法访问。打的是CVE-2021-41773任意文件读取。直接LITCTF{}包裹密码就是flag。附件是ts写的,破
【Web】巅峰极客2024 部分题解
运行sh脚本后再进入aaaaaaa2环境,随便传一个是为了避免rm *将/sandbox/aaaaaaa3/phpcode给瞬删,从而给定时任务运行充足的时间。再在aaaaaaa1环境里运行sh脚本条件竞争让init.py里import的恶意logging.py存在。init.py 中的loggin
NewStarCTF 2023 week5--web
比如别人读取的文件, 应该是要有个docker然后再是后面的数字啊, 有点懵,感觉应该是环境变了。却没有反应,啥也没有,不知道为啥,看别人的博客应该是可以的。不管前面的反序列化,直接利用 php://input ,猜测路径为var/www/html。不晓得为啥1.php就是无法执行命令, 蚁剑也连不
【Web】TFCCTF 2024 部分题解
但是因为strtok代码本身存在错误,当传入的string末尾为:时,会传入none进token,继而让internal server error,从而重启服务,这样就可以将事先写入app/templates下的模板文件注册。这时候再审计代码,可以发现当/login路由查表成功,会调strtok去分
【Web】记录Polar靶场<中等>难度题一遍过(全)
反正持续一个月,感觉XYCTF也不急着打,再沉淀沉淀吧(
文件上传漏洞(ctfshow web151-161)
当网站进行扫描时,会将.user.ini文件指向路径的内容包含在首页文件处(如index.php、index.html等),使用参数auto_prepend_file(包含至首页文件头部)和auto_append_file(包含在首页文件尾部)进行配置。先将.user.ini文件上传至upload目
【Web】LitCTF 2024 题解(全)
file:///flag直接读本地文件。参考ctfshow web57。访问./dollar.php。以xml形式传数据,打xxe。{{7*7}}测出SSTI。随便找个payload打了。随便试一试,一眼ssrf。目录穿越拿到flag。
【Web】记录Polar靶场<简单>难度题一遍过(全)
明天XYCTF开始,今天干啥也不是,过过签到八股吧。
[BUUCTF从零单排] Web方向 01.Web入门篇之粗心的小李解题思路
这是作者新开的一个专栏《BUUCTF从零单排》,旨在从零学习CTF知识。第一篇文章主要介绍Web方向的基础题目——粗心的小李。该题目主要考察信息收集知识,为了方便大家思考,文章摘要部分尽量少提,大家也可以先尝试实践,再看WriteUp。基础性文章,希望对您有所帮助,尤其是对网络安全工具的使用和理解。
