CTF-web-004

发表于2023-03-30|更新于2023-08-27|CTF赛题

|字数总计:256|阅读时长:1分钟|阅读量:

web日常训练，题目源于bugku

bp

解题

标题提示：使用burp和top 1000爆破

使用蓝BP抓包：

先将包转发到重发器：
重发器收到的结果
将包配置到狙击手：
测试器的结果

爆破结果：

难道是哪里思路有问题？
思路开叉……！->排除掉所有带js的包试试：
这里使用橙BP：

得到flag
flag
flag

总结

根据相同的包，在burp上面配置规则过滤掉。

知识点在于：配置数据包过滤规则。

本地管理员

解题

得到题目

思考方向：

对登录窗口实行爆破
对登录窗口的一串n进行解密
XFF伪造攻击

使用admin和test123登录，抓包并且修改xff。

总结

XFF伪造欺骗：

X-Forwarded-For: 127.0.0.1

主要功能：伪造IP地址来源。

eval

解题

得到题目：

分析下函数：

具体操作都是针对flag文件的
思路：显示flag文件的内容。
下面是列表显示

flag提交
得到flag

总结

web的十大漏洞之一：文件包含。

文章作者: 矢幽武

文章链接: http://example.com/2023/03/30/CTF-web-004/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自矢幽武博客！

打赏

wechat
alipay

相关推荐

CTF之Web习题-CTFShow-web78~web218

CTF之Web总结

CVE-相关靶场测试学习

CTF之Web习题--033--某赛题

CTF之Web总结--协议/系统/环境

CTF之Web习题--032--BUU练习题

评论

数据库加载中