ctf

BUUCTF-[GXYCTF2019] Ping Ping Ping

BUUCTF-[GXYCTF2019]PingPingPing考点:1、命令联合执行2、命令绕过空格的方法3、内联执行一、命令联合执行;前面的执行完执行后面的|管道符,上一条命令的输出,作为下一条命令的参数
lunan0320·2023-10-10 05:04

buuctf部分题目wp

EasySQL①测试返回的页面状况特点类发觉存在三种页面–>即返回为no的即为过滤掉的②测试了下发觉show,select,;语句没有被过滤from类语句被过滤掉了即可以考虑是否是堆叠注入测试了几个1;selectdatabase();1;showdatabases;1;showtables;找到了名字为Flag的表尝试直接利用*直接注入返回出发觉也没有办法返回出无奈查大佬们的wp发觉后台的查询语
goddemon·2023-10-10 05:03

BUUCTF刷题[Secret File]&[LoveSQL]&[Ping Ping Ping]

BUUCTF[极客大挑战2019]SecretFile[极客大挑战2019]LoveSQL[GXYCTF2019]PingPingPing[极客大挑战2019]SecretFile你想知道密码吗,我不想知道
Pysnow·2023-10-10 05:02

BUUCTF[GXYCTF2019]Ping Ping Ping

目录一、题目内容二、解题步骤①使用字符串拼接对其进行绕过②sh进行绕过③内联注入一、题目内容在过滤中,运用Linux命令对其进行绕过二、解题步骤①使用字符串拼接对其进行绕过(1)进入靶机中(2)我们首先对他随便ping一下,看能得到什么信息(3)发现能够成功运行,通过ls命令进行查找当前目录的文件(4)发现当前目录下有两个文件,其中就有flag,我们通过cat命令对他进行访问(5)然后它提示有空格
从心的山青顾·2023-10-10 05:01

CTF学习笔记——Include&Ping Ping Ping

一、[ACTF2020新生赛]Include1.题目2.解题步骤点进去看了一下根据题目猜测,应该是和php的文件包含漏洞有关…尝试了一下显示phpinfo,意料之中的失败了,看wp才了解到,这是一道伪协议的题目
Obs_cure·2023-10-10 05:00

GXYCTF web部分简要分析

0x01pingpingping很明显的命令注入,我们用管道符号|即可执行我们想要的命令空格被过滤了,绕过空格的方法有很多,比如{cat,flag.txt}cat${IFS}flag.txtcat$IFS$9flag.txtcatflag.txtkg=$'\x20flag.txt'&&cat$kg(\x20转换成字符串就是空格,这里通过变量的方式巧妙绕过)这儿由于过滤了{}等特殊符号,所以沃恩使用
HyyMbb·2023-10-10 05:00

[SWPUCTF 2022 新生赛]善哉善哉题目解析

这一题结合的东西挺多的,但也不是说很难。他先给了压缩包,正常压缩他没有密码卡你压缩出来是一张图片打开看没什么提示,就按自己的思路走先查看属性,一般属性是最优先查看的,因为他在属性藏东西的地方不多,而且也就10秒钟就看看完了,浪费不了多少时间。发现一点信息,先记录下来,之后就需要塞010查看信息,最简单的直接搜flag和zip都没有,往下翻能看到一串白点,这时候就要注意是不是可能含有摩斯密码,我自己
狼丿王·2023-10-10 05:30

[GXYCTF 2019]Ping Ping Ping题目解析

本题考察的内容是rce绕过,本事过滤的东西不算多也算是比较好绕过基础看到这种先ping一下试试看输入127.0.0.1看看有啥东西有回显说明可以接着往下做借用RCE漏洞详解及绕过总结(全面)-CSDN博客这个大佬整理的rce绕过;A;B无论真假,A与B都执行&A&B无论真假,A与B都执行&&A&&BA为真时才执行B,否则只执行A|A|B显示B的执行结果||A||BA为假时才执行B,否则只执行A这时
狼丿王·2023-10-10 04:28

[LitCTF 2023]作业管理系统 - 文件上传+弱口令

[LitCTF2023]作业管理系统解题流程解题流程1、F12看到页面源代码有注释:默认账户adminadmin使用:admin-admin可直接登录2、上传一句话木马3、蚁剑连接找flag=NSSCTF
Hillain·2023-10-10 04:38

[idekCTF 2022]Paywall - LFI+伪协议+filter_chain

[idekCTF2022]Paywall一、解题流程(一)、分析(二)、解题二、思考总结一、解题流程(一)、分析点击source可以看到源码,其中关键部分:if(isset($_GET['p'])){$
Hillain·2023-10-10 04:37

[ZJCTF 2019]NiZhuanSiWei - 伪协议+文件包含+反序列化

[ZJCTF2019]NiZhuanSiWei1解题流程1.1分析1.2解题题目源码:".file_get_contents($text,'r').""
Hillain·2023-10-10 03:00

CTFSHOW-web(7/11)

文章目录WEB07WEB11WEB07进入目录可以发觉到本题考察的是sql盲注尝试注入经过测试,可以发现本题过滤了空格,在这里可以使用/**/进行代替又是空格绕过,之前刚做过的在CTFHUB上空格绕过题
唤变·2023-10-10 03:28

ctfshow-WEB-web11( 利用session绕过登录验证)

ctf.showWEB模块第11关用session中保存的密码进行登录验证,将session中保存的密码清空即可绕过页面中直接给了源码,很明显是让我们进行代码审计,源码中将我们输入的密码与session
士别三日wyx·2023-10-10 03:26

CTFshow--web入门--文件上传

~目录~开始web151改后缀/禁jsweb152改后缀web153.user.iniweb154、155.user.ini+短标签web156{}web157、158、159反引号执行命令web160日志包含绕过web161幻术文件头web162、163session文件包含+条件竞争web164PNG图片二次渲染web165JPG图片二次渲染web166zip文件上传web167.htacce
7evenQn·2023-10-10 03:54

ctfshow-Web入门-sherlock

Web入门篇(1-…自己更新)信息搜集信息泄露可以参考https://blog.csdn.net/a597934448/article/details/105431367Web1第一题就是最简单的f12,找到flagWeb2给的提示是这个进入之后发现题目上写着无法查看源代码,按f12和右键都无法打开选择在火狐浏览器中把更多工具中的网页开发者工具打开,找到flag试着在网站的JS代码中把false都
blacksun_fm·2023-10-10 03:23

ctfshow-web入门——命令执行(1)(web29-web40)

命令执行(1)web29error_reporting(0);if(isset($_GET['c'])){//get传参不为空,执行if语句$c=$_GET['c'];//get传参,赋值给变量cif(!preg_match("/flag/i",$c)){//过滤flag,模式分隔符后的"i"标记这是一个大小写不敏感的搜索eval($c);}}else{highlight_file(__FILE_
R1one·2023-10-10 03:53

CTFShow--web逃离计划_WP

本题考察了很多知识点:1、pop链的构造2、字符串逃逸反序列化(多变少)3、弱密码爆破4、_wakeup()的绕过,大小写绕过等打开题目是一个登录界面,查看页面源代码没有什么提示,扫目录也没有敏感文件,那就尝试爆破一下,发现账号是:admin;密码是:admin888登进去好像没有变化,但是查看页面源代码会发现一个疑似文件包含的点,访问一下发现这里确实是一个文件包含,那用filter伪协议来读一下
Fox_light·2023-10-10 03:52

ctfshow-web入门-反序列化(前篇)

目录web254web255web256web257web258web259web260web261web262web263web264web265web266web267web254isVip; }  publicfunctionlogin($u,$p){    if($this->username===$u&&$this->password===$p){      $this->isVip=t
parkour-·2023-10-10 03:20

ctfshow-内部赛-签到

内部赛-签到信息收集注册登录,无收获,扫目录,出源码,代码审计。代码审计有三个界面,login.php,register.php,user.php,首先关注到的是,SQL语句,发现有两处$sql="selectusernamefromtest1whereemail='$e'andpassword='$p'";$sql="insertintotest1setemail='$e',username='
3xsh0re·2023-10-10 03:19

ctfshow-web9(奇妙的ffifdyop绕过)

尝试万能密码登录,没有任何回显尝试扫描目录,这里不知道为啥御剑什么都扫不到,使用dirsearch可以扫到robots.txt查看robots协议访问下载index.phps查看index.phps简单审计一下php代码:$password=$_POST['password'];if(strlen($password)>10){die("passworderror");}首先验证用户提交的密码是否
kali-Myon·2023-10-10 03:48

CTFshow-Web入门》04. Web 31~40

Web入门索引web31题解原理web32题解原理web33题解web34题解web35题解web36题解web37题解原理web38题解原理web39题解web40题解原理ctf-web入门索引web31
镜坛主·2023-10-10 03:48

[WP/WEB/反序列化/未完]CTFshow-web257-268

private$code='system("cat*");';publicfunctiongetInfo(){eval($this->code);}}echourlencode(serialize(newctfS
車鈊·2023-10-10 03:17

ctfshow-web11(session绕过)

php代码审计:functionreplaceSpecialChar($strParam){$regex="/(select|from|where|join|sleep|and|\s|union|,)/i";returnpreg_replace($regex,"",$strParam);}首先定义了一个函数,主要是使用preg_replace函数对我们提交的内容进行正则匹配该函数的用法:preg_
kali-Myon·2023-10-10 03:44

CTF之信息收集

什么是信息收集信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们参透测试的过程当中,是最重要的一环,这一环节没做好,没收集到足够多的可利用的信息,我们很难进行下一步的操作。信息收集的方式主动信息收集被动信息收集主动信息收集网站指纹识别网站指纹服务器类型WindowsLinux网站容器Ap
wenzhongxiang·2023-10-10 02:45

CTFCTF(夺旗赛)介绍

什么是CTFCTF(CaptureTheFlag,中文一般译作“夺旗赛”)在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
wenzhongxiang·2023-10-10 02:15

SQL 常见函数整理 _ FLOOR() 向下取整函数

3.应用示例--结果返回3SELECTFLOOR(3.7)
@北海怪兽·2023-10-10 01:12

arm-linux-gnueabihf-gdb 报错

/arm-linux-gnueabihf-gdb:errorwhileloadingsharedlibraries:libncursesw.so.5:cannotopensharedobjectfile
learn_coder·2023-10-10 00:24

php伪协议 [ACTF2020 新生赛]Include1

打开题目点击后期间bp抓包也一无所获那我们回到题目上来我们可知这是文件包含漏洞,但是我们直接读取的是flag.php文件,而非flag.php文件源码,那我们想要获取文件源码,这里就涉及到php伪协议php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致任意文件的读取php://filte
访白鹿·2023-10-10 00:20

C++初始化列表

structfoo{stringname;intid;foo(strings,inti):name
轻松学C语言·2023-10-09 22:12

密码学重点

文章目录一、基本概念二、流密码三、分组密码四、公钥密码五、数字签名五、消息认证和哈希函数参考书本:杨波—《现代密码学》;结城浩—《图解密码技术》参考网站:CTFWiki整理了常用的加密算法,算是比较全的密码学内容
_UPS_·2023-10-09 19:15

CTFSHOW WEB题目

web签到题网页原代码中发现这个,base64解码就是flagweb2这道题目就是最简单的SQL注入了发现万能密码可以成功。于是后台查询语句猜测是select‘column’from‘table’whereusername=’$_POST[]’&password=’$_POST[]’limit1,1自己猜的熬,不一定是完全正确的。这样的话直接闭合前面的单引号就行了。之后就是123’or1=1uni
Anfy1·2023-10-09 18:47

BUUCTF-Web-题目详解(持续更新……)

目录0x01[SUCTF2019]EasySQL1(介绍2种解法)0x02[GXYCTF2019]PingPingPing10x03[极客大挑战2019]SecretFile10x04[极客大挑战2019
AkangBoy·2023-10-09 18:44

几道web题目

总结几道国庆写的web题目[ACTF2020新生赛]Include1点进去发现就一个flag.php,源代码和抓包都没拿到好东西结合题目猜是文件包含,构建payload?
lemofox·2023-10-09 18:39

网络安全学习的三大不可取之处

急功近利每个人进入安全行业的时候都有问题和诱惑,比如某些排行榜,看着大佬们挖洞那么容易,肯定也会羡慕;各大CTF比赛,别人团队突破那么多题目,自己智能做个签到题;各种黑客大会,大佬们展示自己挖到的0day
安鸾彭于晏·2023-10-09 18:43

ctfshow 网络迷踪 all 笔记(同步更新)

不小心拿了一点一血阿巴阿巴q大概看一下莫提供下思路就好手机写太麻烦了有的题懒得放图片跟flag仅提供思路:p文章目录1.新手上路2.初学乍练3.初学又练4.初学再练5.现拉现吃6.初窥门径7.狗哥去哪8.国足加油9.致我超吧10.山外有山11.密集恐惧12.哐啷哐啷13、鲶鱼之谜14、这里有轨15、爆破不了16、目之所及17、窗外风景18、来点福利19、你的名字20、噶即正义21、我惹你温22、都
FW_Suica·2023-10-09 18:41

关于网络渗透的过程以及感想记录

12.28这个网站是我很早之前就想攻下的,经历大概如下:1、想借着ctf的劲头去看看此网站,但是失败,原因是,ctf跟实战完全是两码子事儿啊!
tik2kk·2023-10-09 18:41

【网络安全】关于CTF那些事儿你都知道吗?

关于CTF那些事儿你都知道吗?前言CTF那些事儿内容简介读者对象专家推荐本文福利前言CTF比赛是快速提升网络安全实战技能的重要途径,已成为各个行业选拔网络安全人才的通用方法。
陈童学哦·2023-10-09 18:08

ES客户端(ES 6.2.1 JavaAPI,创建索引库,文档的增删改查,DSL搜索等测试)

org.springframework.bootspring-boot-starter-parent2.0.0.RELEASEcom.liflyspringboot-es0.0.1-SNAPSHOTspringboot-esDemoprojectforSpringBoot1.86
double_lifly·2023-10-09 17:18

关于react脚手架使用antd进行按需加载操作

antd时,首先使用,来下载antdUI组件库yarnaddantd//若是使用antd-mobile则下载antd-mobile二、使用antd组件库的全局引入,做一个Button按钮importReactfrom'react'importReactDOMfrom'react-dom'import
宇雨️鱼·2023-10-09 17:00

react 上传excel预览

excel文件上传后可以预览一、效果展示excel文件预览效果二、使用步骤1.下载插件:npminstallxlsx2.引入库:import*asXLSXfrom'xlsx';三、具体代码importReactfrom'react
wangchenghui321·2023-10-09 17:27

Ant Design of React组件引用及路由跳转

如何引用页面组件;3,路由导航跳转这是我的目录结构公共组件目录定义了公共组件header,和底部公共组件footer一,Ant组件的引用在头部header里面引用Ant的导航菜单,代码:importReactfrom"react
键指江湖·2023-10-09 16:31

CTF压缩包隐写类(zip、RAR、zip伪加密)

文章目录一、zip压缩源文件数据区压缩源文件目录区目录结束标识(EndofCentralDirectoryRecord)zip伪加密识别真假加密二、RAR文件格式主要攻击方式一、zipCTF中的压缩包隐写一般有这样几个套路
Hardworking666·2023-10-09 16:00

React组件

//定义类组件functionApp(){return({/*渲染函数组件*/})}exportdefaultApp类组件//引入ReactimportReactfrom'react'//类组件//
老电影故事·2023-10-09 15:09

2023 10月2日 至 10 月8日学习总结

学了半天想了还是需要进行个总结1.做的题目NSSCTF[BJDCTF2020]easy_md5md5实现sql-CSDN博客[网鼎杯2020白虎组]PicDownpython反弹shellproc/self
双层小牛堡·2023-10-09 14:51

[GYCTF2020]Ezsqli 绕过or information_schema 无列名注入

https://www.cnblogs.com/h0cksr/p/16189749.htmlhttps://www.gem-love.com/ctf/1782.html说好的ez....我们开始吧首先就直接进行抓包看回显然后开始正常的测试报错了这里的
双层小牛堡·2023-10-09 14:15

LFU 缓存 -- LinkedHashSet

相关题目:460.LFU缓存相关文章LRU缓存–哈希链表#460.LFU缓存#Python中和LinkedHashSet相似的数据结构OrderedDictfromcollectionsimportOrderedDictclassLFUCache
NLP_wendi·2023-10-09 12:59

3D地球-儿童扩展眼界和认知,锻炼思维能力

以下3个软件只适用Mac平台:1.Earth3D-Building:3D地球世界著名建筑版,下载地址:https://u19007043.ctfile.com/fs/19007043-3266865102
宇凌_eb3e·2023-10-09 08:20

Unity C# 函数笔记

寻找子对象的某个组件publicTFindTransform(stringname,Transformtrans)whereT:Component{foreach(Tcintrans.GetComponentsInChildren
小葱不吃豆腐·2023-10-09 08:40

CTF刷题

刷题网站:bugku;BUUCTF本文记录了在刷题过程中所学到的知识点坚持每天刷5道题,持续更新坚持就是胜利鸭CTF1、bugku–Simple_SSLI_1根据题目SSLI即服务端模板注入攻击,服务段接收用户输入
不会绑马尾的女孩·2023-10-09 08:40

GitHack使用方法

ctf中有git泄露的题目,可以使用GitHack得到代码进行代码审计下载地址https://github.com/lijiejie/GitHack下载之后解压缩,并通过cmd使用用法:GitHack.pyhttp
是阿星呀·2023-10-09 07:38
上一页 96 97 98 99 100 101 102 103 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他