文档章节

BugkuCTF WEB解题记录 1-5

o
 osc_1ee7cxmx
发布于 2018/08/06 19:07
字数 602
阅读 0
收藏 0
php

 写了一部分的web题,算是把它最基础的一部分做了一遍,以后的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每五道题的题解以一篇文章的形式发表,感谢大家一直以来的支持和理解,共勉~~~

 

web2

 

打开链接http://120.24.86.145:8002/web2/    看到的是一个充满滑稽脸的网页 ,这个题目很简单

我们直接利用F12查看网页源代码

KEY 就在这里  直接复制粘贴回去就成功了

KEY{Web-2-bugKssNNikls9100}

 

文件上传测试

 

打开链接http://103.238.227.13:10085/   看到以下页面

首先我们试一试上传php格式文件123.php

系统提示  非图片文件 

当我们上传png格式的文件时又提示   非php文件

我们联想到使用BP进行数据包抓取 然后更该再进行上传

首先实验下 123.png格式的    上传   然后更改

提示为非php文件,那么我们就该思考了

首先要满足图片格式  其次还要满足为php文件

我们就联想到试一试123.php.png   继续使用BP抓包改包

将123.php.png的png去掉  更名为123.php

 之后点击最上边的 intercept is on 释放数据  

flag就出现了

Flag:42e97d465f962c53df9549377b513c7e

 

计算器

~

打开链接http://120.24.86.145:8002/yanzhengma/  

计算完成之后输入发现最多只能输入一个数字  猜测是最大长度限制 按F12查看源码

原来设置的最大长度maxlength=“1”  将它改成>=2的数字  点击 页面空白处然后就发现可以输入多个字节了

将答案填写进去 验证就得到了flag

flag{CTF-bugku-0032}

 

 

web基础$_GET

~

打开链接http://120.24.86.145:8002/get/  是这样一段代码

$what=$_GET['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';

查看源码,

源码的意思是要以GET的方式传输一个what的值获取flag

那我们就按照上边的来输入

http://120.24.86.145:8002/get/?what=flag

flag就出现了 

 

web基础$_POST

打开链接http://120.24.86.145:8002/post/

查看浏览器显示的源码

$what=$_POST['what'];
echo $what;
if($what=='flag')
echo 'flag{****}';

源码里的意思就是要我们以POST的方式传输一个what的值然后获取flag

 

 那我们就按要求传输  flag就出来了

 

o
粉丝 0
博文 500
码字总数 0
作品 0
私信 提问
加载中
请先登录后再评论。

暂无文章

树莓派4b + Ubuntu20.04 Server 安装Java8

安装环境: 树莓派4b + Ubuntu20.04 Server 32位 1. 下载jdk https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html 2. 解压 tar -zxvf jdk-8u251-linux-arm32-vf......

SummerGao
6分钟前
9
0
项目实战:Qt+OpenCV图像处理与识别算法平台

若该文为原创文章,未经允许不得转载 原博主博客地址:https://blog.csdn.net/qq21497936 原博主博客导航:https://blog.csdn.net/qq21497936/article/details/102478062 本文章博客地址:h...

红模仿_红胖子
9分钟前
7
0
北京智源大会 | AI + 医疗的下一个十年:从公共卫生预警到人类基因密码破解 道翰天琼认知智能api机器人接口。

医疗事关人身安全,要求极高,容错率极低,因此,知识壁垒和技术壁垒都很高。过去,AI系统更多的是服务于终端,辅助医生诊断、决策。但是,医疗很复杂,直接切入终端问题很多。未来十年,AI+...

jackli2020
13分钟前
8
0
源于HystrixCommandStartStream和RollingCommandMaxConcurrencyStream 的 RxJava demo

其实,最近在工作之余看Hystrix源代码已经有一个多月了, 除了对 HystrixCommandProperties ,HystrixCommand 和AbstractCommand 几个类比较了解以外,其余看山不是山,比较懵, 主要是因为H...

专业写BUG的程序员
16分钟前
16
0
聊聊Java中的异常及处理

前言 在编程中异常报错是不可避免的。特别是在学习某个语言初期,看到异常报错就抓耳挠腮,常常开玩笑说编程1分钟,改bug1小时。今天就让我们来看看什么是异常和怎么合理的处理异常吧! 异常...

良许Linux
19分钟前
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部