CTFHub(www.ctfhub.com)专注网络安全、信息安全、白帽子技术的在线学习,实训平台。提供优质的赛事及学习服务,拥有完善的题目环境及配套writeup,降低CTF学习入门门槛,快速帮助选手成长,跟随主流比赛潮流
0x3 了解HTTP协议 接下来,我们就通过ctfhub中的题目来认识http中的一些字段。大家可以先在菜鸟教程中先了解HTTP 请求方式 通常http中的请求方式有一下的9种类型: GET、HEAD、POST、PUT、DELETE、CONNECT、OPTIONS、TRACE、PATCH 题目中需要我们用CTFHUB的请求方式进行请求,但是实际的请求方式并没有CTFHUB的请求方式,于是...
背景 本来看ctfhub上有xss的题目,打算好好学习一波,结果点开一看,只有一道题2333。 便现在dvwa上熟悉了一波。所谓反射型是相对于存储型来讲的。 如果黑客的xss注入是通过某种方式储存到了数据库中,那就是存储型的,这种xss的特点就是每次访问该页面都会收到xss攻击,因为js语句已经放在数据库里了。 而反射型xss则...
这道题,打开网址后,我们发现过滤了大部分的符号,但是我们依然可以使用url编码%0a,注意,这里必须要在url栏输入127.0.0.1%0als 得到flag_is_here文件夹 由于此处flag被过滤,我们只能使用*代替f后面的字符,再利用${}来进行变量替换,使用IFS内部分隔符来调用变量替换符号来替换空格,输入?ip=127.0.0.1%0acd${IFS}f*...
CTFhub——RCE命令注入 什么是命令行注入漏洞 命令行注入漏洞是指应用有时需要调用一些执行系统命令的函数, 如: system()、 exec()、 shell_ _exec()、eval()、passthru(), 代码未对用户可控参数做过滤,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击。
CTFHub Web题学习笔记(Web前置技能+信息泄露题解writeup) 今天CTFHub正式上线了,,之前有看到这个平台,不过没在上面做题,技能树还是很新颖的,不足的是有的方向的题目还没有题目,CTF比赛时间显示也挺好的,这样就不用担心错过比赛了。 先做签到题,访问博客就可以拿到。
目录 CTFHub-技能树-命令执行 1.命令注入 2.过滤cat 3.过滤空格 4.过滤目录分隔符 5.过滤运算符 6.综合过滤练习 7.eval执行 8.文件包含 9.php://input 10.读取源代码 11.远程包含1.命令注入给了源码:// 关键代码 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) {// 传入...
这个shell是常见的一句话木马,参数是ctfhub 现在需要就是看这个webshell能如何利用,分析下源码 <?php error_reporting(0); if (isset($_GET['file'])) { //判断参数file是否为空,这里是GET方式 if (!strpos($_GET["file"], "flag")) { //file参数中不能存在flag关键字 ...
这篇博客写的挺详细CTFHub | 反射型-CSDN博客 1.初识反射型XSS 反射型XSS将用户输入的内容作为代码让浏览器执行达到攻击目的,一般需要让用户访问攻击者构造的URL。这种类型的攻击只发生在客户端上,并且需要从带有恶意脚本参数的特定URL进入,所以也称为非持久型XSS。
发表于2021-09-05分类于Challenge,2021,第七届全国工控系统信息安全攻防竞赛,四类 Challenge | 2021 | 第七届全国工控系统信息安全攻防竞赛 | 四类 | similarPic 阅读全文 » 梯形图 发表于2021-09-05分类于Challenge,2021,第七届全国工控系统信息安全攻防竞赛,四类 ...