2022年5月10日 · 根据提示查看cookie，在F12的console中输入document.cookie，然后url解码，拿到flag。 本题主要考察域名txt记录泄露，在dbcha.com查询ctfshow.com的txt记录便可拿到flag。 这里没有flag的原因题目简介写的很清楚了。 dirsearch跑出来robots.txt，进入管理页面发现要密码，我还以为是top100弱密码，试了发现没用，看hint才知道就在页面最下方有个Help Line Number，这个就是密码（笑，登录拿到flag。 根据提示在底部找到document选项. 进去后发 …

CTF中的Web题型涵盖了Web应用的各种漏洞和攻击手段，参赛者需要掌握SQL注入、XSS、CSRF、文件包含、命令注入、目录遍历、代码审计、SSRF、XXE、逻辑漏洞等知识，才能在比赛中快速找到并利用漏洞获取flag。

2022年2月12日 · 函数将整个文件或一个url所指向的文件读入一个字符串中. fsockopen($hostname,$port,$errno,$errstr,$timeout) 用于打开一个网络连接或者一个Unix 套接 …

在 CTF 比赛中，Web 有几大分类： 解题模式：通常是 0day 挖掘 (主要是 PHP 写的各类 CMS 的漏洞挖掘)、nday 利用 (Java、nodejs)；当然传统题型也是有的，主要是 Bypass Waf，也就是绕过题目中的限制进行利用

2020年9月26日 · 小宁写了个 ping功能,但没有写waf,X老师告诉她这是非常危险的，你知道为什么吗。 1. 可以 ping127.0.0.1，测试常用命令. 2. 构造 127.0.0.1|cat /home/flag.txt. 小宁听说 php是最好的语言,于是她简单学习之后写了几行php代码。 1. 代码审计，根据源码，构造 get请求 ?a=0a&b []= X老师告诉小宁同学HTTP通常使用两种请求方法，你知道是哪两种吗？ 1. 根据提示，请用 GET方式提交一个名为a,值为1的变量。 构造?a=1. 2. 根据提示，请再以 POST方式随便提交 …

2022年7月19日 · 大型工业跨平台软件C++源码提供，建模，组态！ 【推荐】还在用 ECharts 开发大屏？ 试试这款永久免费的开源 BI 工具！ 首先感谢ctf平台和各位出题的大佬 接下来了让我们开始ctf-web的旅行吧！ 目录 web1 web2 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 we.

CTF中Web题目的各种基础思路——入门指南. 本资源汇编了一篇详尽的入门级指南，专门针对CTF（Capture The Flag）竞赛中的Web类别题目。该文旨在为初学者提供坚实的起步平台，通过一系列基础知识的学习，助你在网络安全竞赛的世界里迅速成长。

2024年11月14日 · CTFShow通常是指网络安全领域中的“Capture The Flag” (夺旗赛)展示工具或平台。 这是一种用于分享、学习和展示 信息安全 竞赛中获取的信息、漏洞利用技巧以及解题思路的在线社区或 软件。 参与者会在比赛中收集“flag”，通常是隐藏在网络环境中的数据或密码形式，然后通过分析、破解等手段找到并提交。 CTFShow可以帮助人们了解最新的安全技术和挑战，同时也促进了安全知识和技术的交流。 1.首先我们启动靶机，打开首页，我们发现上面只有一 …

2021年12月2日 · ctf初学者个人建议： 多做ctf题目，多参加ctf比赛，多交流经验; ctf题目推荐buuctf，比赛每个月都有很多，大赛小赛，比如xctf、kctf、wctf等; 每个优秀的ctf选手都有自己的工具库、脚本库、词典库; 多向优秀的安全团队学习，关注他们的公众号，甚至加好友，组队比赛

跨站请求伪造（Cross-Site Request Forgery，CSRF）是一种使已登录用户在不知情的情况下执行某种动作的攻击。 因为攻击者看不到伪造请求的响应结果，所以 CSRF 攻击主要用来执行动作，而非窃取用户数据。 当受害者是一个普通用户时，CSRF 可以实现在其不知情的情况下转移用户资金、发送邮件等操作；但是如果受害者是一个具有管理员权限的用户时 CSRF 则可能威胁到整个 WEB 系统的安全。 SSRF（Server-Side Request Forgery：服务器端请求伪造）是一种由攻击 …