NSSCTF——Web题目2

这篇具有很好参考价值的文章主要介绍了NSSCTF——Web题目2。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、[HNCTF 2022 Week1]2048

二、[HNCTF 2022 Week1]What is Web

三、[LitCTF 2023]1zjs

四、[NCTF 2018]签到题

五、[SWPUCTF 2021 新生赛]gift_F12


一、[HNCTF 2022 Week1]2048

知识点:源代码审计

解题思路:

NSSCTF——Web题目2,CTF,web安全

 NSSCTF——Web题目2,CTF,web安全

 1、打开控制台,查看源代码,题目提示我们需要大于20000分,找到定义分数这一个变量,修改它

NSSCTF——Web题目2,CTF,web安全

 2、修改为小于20000,并保存

NSSCTF——Web题目2,CTF,web安全

 然后进行保存,得到flag

NSSCTF——Web题目2,CTF,web安全


二、[HNCTF 2022 Week1]What is Web

知识点:前端代码审计

解题思路:

NSSCTF——Web题目2,CTF,web安全

 1、右键查看网站源代码

NSSCTF——Web题目2,CTF,web安全

 找到flag,发现进行了base64加密,使用解密网站进行解密,解密后得到flag

Base64解码 Base64编码 UTF8 GB2312 UTF16 GBK 二进制 十六进制 解密 - The X 在线工具 (the-x.cn)


三、[LitCTF 2023]1zjs

知识点:源代码审计

解题思路:

NSSCTF——Web题目2,CTF,web安全

 1、打开开发者工具,CTRL+F找flag、ctf、php等字段,发现/f@k3f1ag.php这个页面

NSSCTF——Web题目2,CTF,web安全

 2、访问这个页面

NSSCTF——Web题目2,CTF,web安全

 这里猜测使用了某种加密,通过网上知道是jsfusk

3、进行jsfusk解密,得到flag

CTF在线工具-在线JSfuck加密|在线JSfuck解密|JSfuck|JSfuck原理|JSfuck算法 (hiencode.com)

NSSCTF——Web题目2,CTF,web安全


四、[NCTF 2018]签到题

知识点:源代码审计,在控制台的network模块寻找flag

解题思路:

NSSCTF——Web题目2,CTF,web安全

 1、打开题目,注意不是一个百度网站,后缀是secret.php,

打开控制台,查看源码,访问原页面,在network得到包,在请求头上得到flag

NSSCTF——Web题目2,CTF,web安全


五、[SWPUCTF 2021 新生赛]gift_F12

知识点:源代码审计,控制台搜索flag

解题思路:

NSSCTF——Web题目2,CTF,web安全

 1、打开控制台,CTRL+F搜索flag

NSSCTF——Web题目2,CTF,web安全


这篇文章就写到这里了,关于这些基础的看网页代码找flag,有几种解题的思路,欢迎批评指正。文章来源地址https://www.toymoban.com/news/detail-672919.html

到了这里,关于NSSCTF——Web题目2的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • nssctf web 入门(6)

    这里通过nssctf的题单web安全入门来写,会按照题单详细解释每题。题单在NSSCTF中。 想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。 目录 [SWPUCTF 2021 新生赛]caidao [SWPUCTF 2021 新生赛]easyrce [SWPUCTF 2021 新生赛]babyrce [SWPUCTF 2021 新生赛]

    2023年04月21日
    浏览(35)
  • nssctf web 入门(3)

    目录 [NISACTF 2022]easyssrf  [SWPUCTF 2021 新生赛]ez_unserialize  [SWPUCTF 2021 新生赛]no_wakeup 这里通过nssctf的题单web安全入门来写,会按照题单详细解释每题。题单在NSSCTF中。 想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。 [NISACTF 2022]easys

    2023年04月21日
    浏览(47)
  • nssctf web 入门(7)

    这里通过nssctf的题单web安全入门来写,会按照题单详细解释每题。题单在NSSCTF中。 想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。 [SWPUCTF 2021 新生赛]hardrce 这里过滤了所有的字母我们肯定要编码,同时又过滤了很多字符,我们发现没

    2023年04月18日
    浏览(29)
  • NSSCTF Round#13 web专项

    简单的注册个账号,在 /changePassword 下查看页面源代码发现密钥 !-- secretkey: th3f1askisfunny -- ,很好,老套路了,flask-session-cookie-manager伪造,把 _user_id 改成1,访问 /getFlag ,拿到flag 查看页面源代码,发现路由 /factors/114514 ,访问发现114514被分解,猜测后台逻辑是利用linux命令facto

    2024年02月07日
    浏览(36)
  • 小迪安全20WEB 攻防-PHP 特性&缺陷对比函数&CTF 考点&CMS 审计实例

    #研究对象 PHP代码漏洞(代码问题) # 知识点: 1 、过滤函数缺陷绕过 2 、 CTF 考点与代码审计 一、原理-缺陷函数-使用讲解-本地 内置函数: 大部分是比较函数(过滤时使用的函数) (1)、== 与 === : 参考: PHP 浅谈 == 和=== 中,数字和字符串比较的问题。_php 数字==字符串

    2024年01月19日
    浏览(53)
  • 【Web】NSSCTF Round#16 Basic个人wp(全)

    出题友好,适合手生复健。 目录 ①RCE但是没有完全RCE ②了解过PHP特性吗 上来就是一段md5八股 (string)就是不让用数组了,然后强比较需要md5碰撞  之后是要md5前后都是0e   成功过掉,访问3z_RC3.php  这里可能有师傅会想用hex2bin,但编码后会有f和a两个字母不能用,限制太大,反

    2024年01月21日
    浏览(33)
  • [CTF/网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)

    这段代码首先通过 show_source(__FILE__) 显示当前文件的源代码,然后通过 $_GET[\\\'hello\\\'] 显示 URL 参数中名为 hello 的值。 接下来,代码使用 $_GET[\\\'page\\\'] 获取 URL 参数中名为 “page” 的值,并进行字符串替换,将 php:// 替换为空字符串 这是为了防止通过 URL 参数加载本地文件或其他可

    2024年02月08日
    浏览(46)
  • 【web-ctf】ctf_BUUCTF_web(2)

    1. [RCTF2015]EasySQL 考点: 二次注入 报错注入 正则表达式查找 reverse函数 学到的知识点: 二次注入原理 二次注入的标志: (1)可以自行注册用户 (这是为了注册一些特殊的用户名到数据库中(比如会导致之后报错、修改其他用户的密码等)) (2)可以使用修改密码等 (二

    2024年02月06日
    浏览(43)
  • CTF show----web 解题笔记(web签到~web6)

    目录 web签到题 web2 考查点: 1.判断sql注入回显位置 2.查当前数据库名称 3.查看数据库表的数量 4.查表的名字 5.查flag表列的数量 6.查flag表列的名字 7.查flag表记录的数量 8.查flag表记录值 web3 web4 web5  web6 where is flag? 直接F12去找一下   找到   Y3Rmc2hvd3s1YzYyZWE0Mi04M2E5LTRhNDUtODRiM

    2023年04月18日
    浏览(42)
  • [CTF]2022美团CTF WEB WP

    最终排名 源码 由上源码可知想要造成pickle反序列化需要两步: 1.得到secret_key 2.绕过黑名单造成pickle反序列化漏洞 那么先来实现第一步: app.config[‘SECRET_KEY’] = os.urandom(2).hex() #设置key为随机打乱的4位数字字母组合例如a8c3 从这里知道,想要爆破key其实并不难,可以自己试试 那

    2024年02月06日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包