首页 > 其他分享 >攻防世界CTF web方向

攻防世界CTF web方向

时间:2024-08-08 13:06:28浏览次数:10  
标签:web HTTP 请求 攻防 disabled CTF Referer 服务器

入门题鉴赏

disabled_button

https://adworld.xctf.org.cn/challenges/list
解决思路:因为说的是前端的button坏掉了,于是我们用查看器查看他的页面源代码,发现有个disabled,就是不能的意思

将 disabled 删掉即可!
总结:前端JS代码查看修改


weak_auth

https://adworld.xctf.org.cn/challenges/list
暴力破解,蹭运气
我真就是随便输入了几个数,他就给我 flag 了!
正常做法肯定还是bp爆破,python脚本编写


simple_php

很明显看到题目是PHP代码块

思路:在题目中我们可以看到,a需要与0进行弱比较(任何一个整数都不可以,因为都比0大,于是我们优先想到字符串)其次我们看到b那里需要不是数字,我们就可以跳过if判断它是数字的代码,而且他又要大于1234,随便给一个值并且加上几个字母即可!

这里说明一点:php 在字符串与数字比较的时候,会把字符串转化为数字,在转化的时候会先判断


xff_referer

首先解释一下名词含义:
X-Forwarded-For(XFF):是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段
它的作用:使Web服务器获取访问用户的IP真实地址(可伪造)

referer:是HTTP头部的一部分,当浏览器向web服务器发送请求时,一般会带上Referer,用来表示从哪个页面链接到当前的网页,服务器因此可以获得一些信息用于处理,采用的格式是URL
作用:通过HTTP Referer,当前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。Referer可以用来判断请求来源是否合法,从而防止恶意攻击

这道题很明显就是利用上面两者作用结合做的

标签:web,HTTP,请求,攻防,disabled,CTF,Referer,服务器
From: https://www.cnblogs.com/Alaso687/p/18348711

相关文章

  • 【CTFWP】ctfshow-web351-358
    文章目录前言web351web352web353web354web355web356web357web358前言ctfshow的web入门的ssrf靶场web351<?phperror_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch,CURLOPT_HEADER,0);curl_setopt($ch,......
  • Webpack入门基础知识及案例
    webpack相信大家都已经不陌生了,应用程序的静态模块打包工具。前面我们总结了vue,react入门基础知识,也分别做了vue3的实战小案例,react的实战案例,那么我们如何使用webpack对项目进行模块化打包呢?话不多说,开始!!目录一、熟悉webpack的主要功能二、Webpack的核心概念三、使用webp......
  • Visual Studio Community安装WebForm创建和数据连接
    目录一、安装VisualStudioCommunity1.下载VisualStudioCommunity2.双击安装3.配置二、项目创建1.创建新项目2.配置新项目3.创建web窗体4.代码分部5.文件打开问题三、数据库访问1.自己先装一个sqlserver2.创建实体数据模型3.创建连接4.修改更新 四、项目......
  • 常见的中间件漏洞:WebLogic
     WebLogic        WebLogic是美国Oracle公司出品的⼀个applicationserver,确切的说是⼀个基于JAVAEE架构的中间件,默认端⼝:7001WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据库应⽤的Java应⽤服务器。将Java的动态功能和JavaEnterprise......
  • astro中创建web components
    MyCounter.astro:<script>consttemplate=`<style>*{font-size:200%;}span{width:4rem;display:inline-block;text-align:center;}button{width:4rem;height:4rem;......
  • 《白帽子讲Web安全》 读书
    前段时间看《码农翻身2》时,里面讲到一部分安全相关的知识点很是有趣,又想起多年前一位朋友推荐的《白帽子讲Web安全》,据说这本书是安全领域的圣经,遂跑到图书馆借了这本书,下定决心读一读。这本书前前后后翻了一周的时间,虽然本身我不是从事安全方向的研发,但觉得有一部分知识还是......
  • astro中创建web components
    先创建AstroHeart.astro:<script>//DefinethebehaviourforournewtypeofHTMLelement.classAstroHeartextendsHTMLElement{constructor(){super();letcount=0;constheartButton=this.quer......
  • web页面中直接调用c++/c/go代码?【wasm】
    背景最近在做rosbag的可视化工具,网上找了个源码参考(foxglove)。成功down下来,跑起来了。于是乎,开始研究前后端代码;结果居然花了一下午没找到后端代码,不明白为什么纯web页面就可以解析rosbag(以前都是用node.js或者c++代码解析的)。过程在找了一下午之后,又回到了老办法;看netork,果然......
  • 【BUUCTF】Hack World 1
    【BUUCTF】Blacklist(SQL盲注)题目来源收录于:BUUCTFCISCN2019华北赛区Day2Web1题目描述纯粹的SQL注入题当输入1时,返回字符串:Hello,glzjinwantsagirlfriend.当输入为2时,返回字符串:Doyouwanttobemygirlfriend?当输入为其他数字时,返回字符串:ErrorOccure......
  • [GYCTF2020]Node Game及知识点
    ......