首页 > 其他分享 >CTF攻防世界小白刷题自学笔记6

CTF攻防世界小白刷题自学笔记6

时间:2024-09-13 16:52:27浏览次数:14  
标签:攻防 题目 HackBar get 小白刷题 勾选 CTF post 源代码

1.view_source,难度:1,方向:Web,

题目来源:Cyberpeace-n3k0

题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。

打开一看显示FLAG is not here,右击鼠标果然没反应,估计是不想我们查看网页源代码。

下意识按了一下F12(开发者工具),笑死直接出来了,最简单的一集,也是目前唯一一道不需要看答案就做出来的一题。

不过按CTRL+U也可以显示源代码,如图。

2.get_post,难度:1,方向:Web,

题目来源:Cyberpeace-n3k0

题目描述:X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?

打开网站一看,直接告诉我们要用GET方式提交一个a=1的变量,

我一开始是想在url上做文章的,想着在上面写get\post什么的,但是具体怎么写我忘了,去查了一下之前的记录也没有找到,后面就开摆了,看来是上一题做出来给我的信心。。。

看完答案说话就是硬气,第一步GET,没想到直接在url上修改赋值就算get,后面加上/?a=1,出来了,如下图。

这里我想故技重施的,但是然并卵,看来post不是随便用的。大佬们的writeup中普遍用到了HackBar,听说是谷歌应用商店的,结果谷歌应用商店根本进不去,估计要挂梯子,不过挂了也没有用了,听说现在正版都收费了,还是看看我们站内的大佬文章http://t.csdnimg.cn/2JYy1一条龙安排好了,附一下HackBar简介,

HackBar简介 HackBar是一款基于浏览器的渗透测试工具,可以简化目标网站的攻击流程。它可以轻松地注入JavaScript和其他脚本,进行SQL注入、XSS攻击、各种类型的扫描等。该工具可在Firefox和Chrome等流行的浏览器中使用,并且功能非常强大和定制化。

因为版本问题,我与大佬们的界面都不一样,经过我的摸索,用法为在对应页面按F12(打开开发者工具),找到HackBar模块(没有就点击》》符号添加),先点击Load URL自动载入,再勾选下面的对应功能,每多勾选一个都会多一个功能窗口。

这道题我们只需勾选Post data就行了,输入b=2,再点击一下Excute按钮,flag就出来了。cyberpeace{c1db8bb827358c4619a1163f9117a762}

标签:攻防,题目,HackBar,get,小白刷题,勾选,CTF,post,源代码
From: https://blog.csdn.net/weixin_52990944/article/details/142123822

相关文章

  • CTF/5/利用python自动请求网页
    最后编辑时间:2024-09-1309:23:09星期五利用python自动请求网页(面向CTF)前置知识:PythonHTMLBurp(或者任何一个你趁手的抓包软件)VSCode(或者任何一个你熟悉的编辑器)浏览器开发者模式(F12)POST请求和GET请求shell/cmd使用搭建web服务器基础为什么我们需要利用python来进......
  • 攻防世界-web引导模式-难度:1-disabled_button详细解答
    大家好,我是一名信息安全专业大二学生,今天是24年9月11日,我之前在攻防世界不时的去做一些题,遇到不会做的直接看writeup,但是过几天就忘了或者是学的根本没用,自己在笔记本上记笔记也觉得很麻烦而且作用不大,觉得自己像是在装逼,所以我从今天开始,不管做的题有多简单还是难,都会在该账号......
  • [GDOUCTF 2023]<ez_ze>!
    这题是一个jinja2的ssti模板注入,经过测试过滤了_{{}}.[]''ospopengetitem输入{%print(lipsum|string|list)%}或者{%print(config|string|list)%}从这里面获取我们需要的字符获取下划线和空格{%setpop=dict(pop=1)|join%}{%setxia=(lipsum|string|list)|at......
  • 靶机 ctf5
    暴露了很多端口80端口发现是nanocms、查询exploithttp://192.168.200.144/~andy/data/pagesdata.txt会暴露密码searchsploitnanocms那个根本利用不了的破解密码得出shannon进入cms添加一句话马,执行<?phpexec("/bin/bash-c'bash-i>&/dev/tcp/192.168.1.121/12340>......
  • 靶机 ctf7
    可交互shellpython2-c'importpty;pty.spawn("/bin/bash")'mysql命令mysql-u-pshowdatabase;usexxxx退出exit/qawkcatsql|awk-F'''{print$2}'密码爆破hashcat-m0-a0passwd/usr/share/wordlists/rockyou.t......
  • CTF密码学基础知识整理
    一.常见编码转换(1)整数转ascii码INT->CHAR:chr(97)CHAR->INT:ord('a')(2)hex转ASCII>>>importbinascii>>>binascii.a2b_hex('666c6167')b'flag'>>>binascii.b2a_hex(b'flag')b'666c6167&......
  • 云上攻防:云原生篇&Docker容器逃逸
    什么是DockerDocker简而言之就是一个容器技术,类似于VM虚拟机,别人环境封装好打包成一个镜像,使用docker技术就能快速把这个镜像环境还原出来。Docker容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器......
  • 常见的网络攻防技术(通俗易懂)
    前言提示:文章同样适用于非专业的朋友们,全文通俗化表达,一定能找到你亲身经历过的网络攻击(建议大家认真看完,这篇文章会刷新你对网络攻防的认知)前言在世界人口近80亿的地球上,每天尚且发生数以百万计的抢劫打架斗殴事件,网络更是如此,网络攻防战几乎每时每刻都在发生。如果说......
  • [GXYCTF2019]禁止套娃
    这题用御剑扫描不出来什么结果,最后看大佬的wp发现这题使用githack扫出来的首先来收一下git源码泄露的原因:开发人员在开发的时候,常常会先把源码提交到远程托管网站(如github),最后在从远程托管网站把源码pull到服务器的web目录下,如果忘记把.git文件删除,就会造成此漏洞。利用.git......
  • 【CTF】MISC常用工具集锦/使用方法简介
    前言#MISC题型多变而且工具繁杂,因此自己花时间整理了一份工具列表,以便日后参考用流畅地阅读这篇博客,你可能需要:Python2.7.18+Python3.8+任何一个更高版本的Python,使用conda管理Linux虚拟机,kali即可流畅访问Google/GitHub等站点的网络通用工具#PuzzleSolver#专为misc手......