攻防世界WEB部分write up

2021-10-02 17:16:17 字數 844 閱讀 4830

新手入門區域

1.command_execution

小寧寫了個ping功能,但沒有寫waf,x老師告訴她這是非常危險的,你知道為什麼嗎。

wp:輸入127.0.0.1;ls,發現可執行後面的ls,故直接用find命令查詢:127.0.0.1;find / -name '*flag*'

看到/home/flag.txt ,於是輸入:127.0.0.1;cat /home/flag.txt 拿到flag:

cyberpeace
2.webshell

wp:我的場景ip位址是

直接上中國菜刀連線/index.php,引數填shell

然後開啟終端,ls--->cat flag.txt拿到flag:cyberpeace

3.******_php

小寧聽說php是最好的語言,於是她簡單學習之後寫了幾行php**

給出了比較邏輯:

<?php 

show_source(__file__); 

include("config.php"); 

$a=@$_get['a']; 

$b=@$_get['b']; 

if($a==0 and $a) 

if(is_numeric($b)) 

if($b>1234) 

?> 

wp:第乙個引數a可以等於0也可以等於'',因為是弱型別比較。

第二個引數b首先判斷是否是數字,那就在數字後面加字母就不是數字了。

然後只需要比1235大就行

故引數a=''&b=1236qwe

拿到flag:cyberpeace

攻防世界web

1.view source 這個題目很簡單沒有什麼可說的直接檢視原始碼就能看到flag。2.get post 此題簡單考查了get post的用法。可以參考下面筆記看一下關於http的8種請求方式。下面來看這道題 開啟鏈結能看到如下提示 這裡需要使用火狐瀏覽器外掛程式hackbar。根據提示將位址修...

攻防世界 Web篇

1.題目描述 cookie x老師告訴小寧他在cookie裡放了些東西,小寧疑惑地想 這是夾心餅乾的意思嗎?2.題目場景 3.writeup解題思路 cookie通俗的講是型別為 小型文字檔案 是某些 為了辨別使用者身份,進行session跟蹤而儲存在使用者本地終端上的資料 通常經過加密 由使用者客...

Web攻防世界(一)

ctf web 前期在bilibili學習web知識 基本漏洞原理 burp的用法 菜鳥第一天 該題主要考察檢視源 firefox快捷鍵f12檢視原始碼,提交flag。robots協議也叫robots.txt,其通常放置於 根目錄下,是訪問 的時候最先訪問的乙個檔案。該題通過url訪問robots....