攻防世界XCTF-WEB入门12题解题报告

2024-04-29 19:52

本文主要是介绍攻防世界XCTF-WEB入门12题解题报告,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

WEB入门题比较适合信息安全专业大一学生,难度低上手快,套路基本都一样

需要掌握:

  • 基本的PHP、Python、JS语法
  • 基本的代理BurpSuite使用
  • 基本的HTTP请求交互过程
  • 基本的安全知识(Owasp top10)

先人一步,掌握WEB安全入门诀窍,相信我,你不会后悔滴~

第一题:考察浏览器控制台的查看

解题报告:

右键不管用,那就打开控制台咯~

提交flag:cyberpeace{2d7647b131421b597501c7e63ddaa879}

第二题:考察网站robots页面的查看

解题报告:

进入robots.txt找到了线索

顺着线索找到了flag:cyberpeace{3b9d4fcca0aaba7f46f09e6403019a80}

第三题:考察备份文件名的后缀

解题报告:

index.php加个bak不就是备份文件嘛,自动下载了

从文件中找到了flag:Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

第四题:考察HTTP请求和应答报文

解题报告:

从控制台可以看到cookie中的值为cookie.php,访问这个页面就是咯

从HTTP的应答头里面找到flag:cyberpeace{46907c4246480ad4f5b356e1e2f1817a}

第五题:考察在线编辑页面能力

解题报告:

查看源代码,发现有个disable字段,把它改成able不就可以了嘛

浏览器右键选择,检查,就可以在线修改啦

现在按下这个按钮就可以得到flag:cyberpeace{6ac76b64319ed77f47fe1479f6e25c6f}

第六题:考察弱口令

解题报告:

弱口令我试了2次,第一次试了admin admin错了,第二次试了admin 123456对了,直接就拿到flag:cyberpeace{286d648347709bbd11ac479ee0a75f2b}

第七题:考察PHP类型比较

解题报告:

  • 要求a等于0,并且a是true,那么a可以是字符串:“ailx10”
  • 要求b不是数字,并且b大于1234,数字后面加空格就可以了

构造一个合理的请求就拿到flag:Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}

第八题:考察GET请求和POST请求

解题报告:

代理走起来,修改GET为POST,添加一个body,key是b,value是2即可

走你,拿到flag:cyberpeace{c6d40b542f6325b7330e9cbc9f094dbd}

第九题:考察代理修改请求头的字段

解题报告:

  • 添加X-Forwarded-For字段
  • 添加Referer字段

拿到flag:cyberpeace{4079533fd7bdb1611a30d037f70983bc}

第十题:考察一句话木马的利用

解题报告:

在index.php的页面下,通过POST请求一个shell字段,值为system("ls");,试图看看当前页面下有哪些文件,找到了flag.txt

访问这个文件,拿到flag:cyberpeace{cccd7f5bd0cf3b90460309eaf001d1ea}

第十一题:考察命令注入

解题报告:

试了一下几个命令,127.0.0.1;ls /home ,在这个里面发现了线索

打印这个文件127.0.0.1;cat /home/flag.txt ,拿到flag:cyberpeace{0b95886087d98c05d0773266fde8b347}

第十二题:考察JS代码审计

解题报告:

这题是真的坑,浪费时间的东西,这也太无聊了。

这个dechiffre()函数不管输入什么结果都是一样的,也就是说这是个干扰项,那密码还能在哪呢?下面一串16进制编码。

\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30

第一步:将16进制转为10进制数字

b="\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30"print(bytes(b).decode('ascii'))#输出:55,56,54,79,115,69,114,116,107,49,50

第二步:ascii码数字转字符串

b="55,56,54,79,115,69,114,116,107,49,50"
b=b.split(",")
passwd=""
for bb in b:passwd += chr(int(bb))
print(passwd)
#输出:786OsErtk12

于是得到flag:cyberpeace{786OsErtk12}

至此,CTF-WEB入门题通过了~


网络安全基础入门需要学习哪些知识?

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img

阶段一:基础入门

img

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
在这里插入图片描述

这篇关于攻防世界XCTF-WEB入门12题解题报告的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/947017

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

揭秘世界上那些同时横跨两大洲的国家

我们在《世界人口过亿的一级行政区分布》盘点全球是那些人口过亿的一级行政区。 现在我们介绍五个横跨两州的国家,并整理七大洲和这些国家的KML矢量数据分析分享给大家,如果你需要这些数据,请在文末查看领取方式。 世界上横跨两大洲的国家 地球被分为七个大洲分别是亚洲、欧洲、北美洲、南美洲、非洲、大洋洲和南极洲。 七大洲示意图 其中,南极洲是无人居住的大陆,而其他六个大洲则孕育了众多国家和

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

Java Web指的是什么

Java Web指的是使用Java技术进行Web开发的一种方式。Java在Web开发领域有着广泛的应用,主要通过Java EE(Enterprise Edition)平台来实现。  主要特点和技术包括: 1. Servlets和JSP:     Servlets 是Java编写的服务器端程序,用于处理客户端请求和生成动态网页内容。     JSP(JavaServer Pages)

数论入门整理(updating)

一、gcd lcm 基础中的基础,一般用来处理计算第一步什么的,分数化简之类。 LL gcd(LL a, LL b) { return b ? gcd(b, a % b) : a; } <pre name="code" class="cpp">LL lcm(LL a, LL b){LL c = gcd(a, b);return a / c * b;} 例题:

Java 创建图形用户界面(GUI)入门指南(Swing库 JFrame 类)概述

概述 基本概念 Java Swing 的架构 Java Swing 是一个为 Java 设计的 GUI 工具包,是 JAVA 基础类的一部分,基于 Java AWT 构建,提供了一系列轻量级、可定制的图形用户界面(GUI)组件。 与 AWT 相比,Swing 提供了许多比 AWT 更好的屏幕显示元素,更加灵活和可定制,具有更好的跨平台性能。 组件和容器 Java Swing 提供了许多

【IPV6从入门到起飞】5-1 IPV6+Home Assistant(搭建基本环境)

【IPV6从入门到起飞】5-1 IPV6+Home Assistant #搭建基本环境 1 背景2 docker下载 hass3 创建容器4 浏览器访问 hass5 手机APP远程访问hass6 更多玩法 1 背景 既然电脑可以IPV6入站,手机流量可以访问IPV6网络的服务,为什么不在电脑搭建Home Assistant(hass),来控制你的设备呢?@智能家居 @万物互联

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

poj 2104 and hdu 2665 划分树模板入门题

题意: 给一个数组n(1e5)个数,给一个范围(fr, to, k),求这个范围中第k大的数。 解析: 划分树入门。 bing神的模板。 坑爹的地方是把-l 看成了-1........ 一直re。 代码: poj 2104: #include <iostream>#include <cstdio>#include <cstdlib>#include <al

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能