首页 综合资源 WEB安全 正文

XCTF(Web)新手练习区WP(全)

WEB安全
2022-01-18 0 1,157

001.view_source

知识点:考察浏览器的开发者工具
XCTF(Web)新手练习区WP(全)

002.robots

题目已经提示在robots协议中所以访问robots.txt
XCTF(Web)新手练习区WP(全)
这里已经提示你flag的位置,访问http://111.200.241.244:51497/f1ag_1s_h3re.php可以得到flag。
XCTF(Web)新手练习区WP(全)

003.backup

题目提示为备份文件,所以我百度搜一下:
XCTF(Web)新手练习区WP(全)
XCTF(Web)新手练习区WP(全)
获得一个文件:
XCTF(Web)新手练习区WP(全)
发现这个文件里面没有flag
XCTF(Web)新手练习区WP(全)
我想了一下把xx.php.bak -> xx.txt然后打开果然找到了flag。

004.cookie

题目提示找cookie这一栏
XCTF(Web)新手练习区WP(全)
发现cookie.php,我们进行访问
XCTF(Web)新手练习区WP(全)

005.disabled_button

本题考查js
XCTF(Web)新手练习区WP(全)
把这行代码去掉就可以了。

006.weak_auth

XCTF(Web)新手练习区WP(全)
我们访问该页面
XCTF(Web)新手练习区WP(全)
接下来我们用到Burp suite工具进行爆破
XCTF(Web)新手练习区WP(全)

007.simple_php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
    echo $flag1;
}
if(is_numeric($b)){
    exit();
}
if($b>1234){
    echo $flag2;
}
?>

知识点:弱类型总结https://www.cnblogs.com/Mrsm1th/p/6745532.html
a又要为0且不是0还有b不能为数值型
XCTF(Web)新手练习区WP(全)

008.get_post

题目让get方式提交
XCTF(Web)新手练习区WP(全)
利用burp suite将get数据包改为post数据包
XCTF(Web)新手练习区WP(全)

009.xff_referer

XCTF(Web)新手练习区WP(全)
立马想到xff(X-Forwarded-For)

  • xff 是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。

又要从Google过来,想到referer
XCTF(Web)新手练习区WP(全)

  • referer 是http的拓展头部,作用是记录当前请求页面的来源页面的地址。服务器使用referer确认访问来源,如果referer内容不符合要求,服务器可以拦截或者重定向请求。
    XCTF(Web)新手练习区WP(全)

010.webshell

使用hackbar工具
XCTF(Web)新手练习区WP(全)
知道flag在flag.txt里
XCTF(Web)新手练习区WP(全)

011.command_execution

预备知识:

  • <pre>标签最基本的认识就是预格式化文本,被包围在 pre 元素中的文本通常会保留空格和换行符。

1.利用反射型XSS(比较麻烦)

  1. 检测xss漏洞
    XCTF(Web)新手练习区WP(全)
    说明有xss漏洞

2.利用命令执行

XCTF(Web)新手练习区WP(全)
XCTF(Web)新手练习区WP(全)
XCTF(Web)新手练习区WP(全)

012.simple_js

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
function dechiffre(pass_enc){
    var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65";
    var tab  = pass_enc.split(',');
            var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length;
                    = + (l) + (n=0);
                    = tab2.length;
                    for(i = (o=0); i < (k = = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i]));
                            if(i == 5)break;}
                    for(i = (o=0); i < (k = = n); i++ ){
                    = tab[i-l];
                            if(i > 5 && i < k-1)
                                    += String.fromCharCode((o = tab2[i]));
                    }
    += String.fromCharCode(tab2[17]);
    pass = p;return pass;
}
String["fromCharCode"](dechiffre("x35x35x2cx35x36x2cx35x34x2cx37x39x2cx31x31x35x2cx36x39x2cx31x31x34x2cx31x31x36x2cx31x30x37x2cx34x39x2cx35x30"));
= window.prompt('Enter password');
alert( dechiffre(h) );

解密脚本

1
2
3
4
5
6
7
8
9
10
def print_hi():
    str = "x35x35x2cx35x36x2cx35x34x2cx37x39x2cx31x31x35x2cx36x39x2cx31x31x34x2cx31x31x36x2cx31x30x37x2cx34x39x2cx35x30"
    num = str.split(",")
    for in num:
        print(chr(int(i)),end="")
# Press the green button in the gutter to run the script.
if __name__ == '__main__':
    print_hi()
收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

注:在使用本系统时,使用方必须在国家相关法律法规范围内并经过国家相关部门的授权许可,禁止用于一切非法行为。使用用途仅限于测试、实验、研究为目的,禁止用于一切商业运营,本团队不承担使用者在使用过程中的任何违法行为负责。

83源码 WEB安全 XCTF(Web)新手练习区WP(全) https://www.83ym.com/110.html

认准唯一TG:@ym830

上一篇: log4j 2漏洞原理及复现
下一篇: [漏洞复现]ThinkPHP 5.1.x SQL注入漏洞
常见问题

VIP会员是否无限次下载资源?

  • 站内所有资源,针对不同等级VIP会员可直接下载,特殊资源商品会注明是否免费,指会员所享有根据选择购买的会员选项所享有的特殊服务,具体以本站公布的服务内容为准。
查看详情

正规的网络棋牌运营商需要具备哪些资质?

  • 按照我国的法律规定,运营网络棋牌首先需要成立一个注册正规备案的公司,然后申请网站备案、文网文、ICP等等,这些证件缺一不可。 一.注册公司 在当地工商进行注册,公司名称以“XX科技有限公司”为名,如:富裕棋牌经营范围填写“计算机软硬件、网络设备的设计开发与购销”。 二.域名及网站备案 在国内从事网站经营活动就必须经过相关部门的备案,因此棋牌运营商在购买了域名后,就要到当地网监局办理网站备案,或者请服务器提供商代为备案。 三.申请文网文 文网文全称为网络文化经营许可证,是从事经营性互联网文化活动所必需的资质。一般是需要到当地省一级(省、直辖市、自治区)的文化行政部门提出申请,并经由当地的文化行政部门合法批准。次资质要求申请公司注册资金必需达到1000万,并提供游戏版权证明文件。 四.申请ICP ICP又称为增值电信业务许可证,所有网络游戏运营商均需要办理ICP许可证,此证件要求公司注册资金1000万,需到当地市级通讯管理局办理。 五.申请文网游——游戏备案 根据《网络游戏管理暂行办法》(文化部第49号)的规定,国产网络游戏在上网运营之日起30日内应当按规定向国务院文化行政部门履行备案手续。 以上就是网络棋牌游戏正规运营所必需的资质证明。一般作为正规有实力的棋牌游戏开发公司,不光要具备所有的正规资质,而且会对投资者、代理商等合作伙伴给予相关指导和协助,与合作伙伴携手共赢!
查看详情

相关文章

猜你喜欢
官方客服团队

为您解决烦忧 - 24小时在线 专业服务

联系官方团队 在线提交工单
反诈公益广告 到期时间:2030/04/30
热门推荐
热门标签
首页 VIP 菜单 客服 我的