技术栈
ctf题目
南暮思鸢
1 个月前
python
·
web安全
·
网络安全
·
正则表达式
·
write up
·
ctf题目
·
hackergame 2024
强大的正则表达式——Medium
由上一篇文章《Easy》中提到过的:还是直接让AI写个python脚本生成难度2的正则表达式,但是生成的正则表达式无法成功获取到flag:
南暮思鸢
1 个月前
web安全
·
网络安全
·
知识分享
·
write up
·
ctf题目
·
hackergame 2024
比大小王比赛
对手上来就快速答题,根本没法拼手速赢下比赛查看页面源代码:关键词“POST”,找到关键代码段:前端会调用 loadGame() 函数向后端发送 POST /game 请求,获取 100 道题目的数字和开始时间。这个请求可以通过浏览器的开发者工具看到,其中的信息会被存入 state 变量中
南暮思鸢
1 个月前
经验分享
·
web安全
·
网络安全
·
node.js
·
ctf题目
·
hackergame 2024
Node.js is Web Scale
点击“打开/下载题目”进去看看情况:为了方便查看翻译成中文简体来看:emmm,看不懂什么意思,查看源代码,js表示是一段JavaScript代码,丢给AI分析一下:
南暮思鸢
2 个月前
前端
·
经验分享
·
web安全
·
网络安全
·
文件上传漏洞
·
ctf题目
·
ctfhub技能树
CTFHUB技能树之文件上传——前端验证
开启靶场,打开链接:看到提示是js前端验证直接F12查看前端源代码:可以看出对上传的文件做了限制,只能上传.jpg、.png、.gif文件
南暮思鸢
2 个月前
经验分享
·
web安全
·
网络安全
·
xss
·
ctf题目
·
ctfhub技能树
·
存储型xss
CTFHUB技能树之XSS——存储型
开启靶场,打开链接:发现地址栏中的URL没有GET传参,而且这次是“Hello,no name”还是跟反射型一样的流程:
南暮思鸢
2 个月前
经验分享
·
web安全
·
网络安全
·
文件上传漏洞
·
ctf题目
·
ctfhub技能树
·
.htaccess绕过
CTFHUB技能树之文件上传——.htaccess
开启靶场,打开链接:直接指明.htaccess绕过方法新建.htaccess文件,内容如下:AddType application/x-httpd-php .png
南暮思鸢
2 个月前
数据库
·
sql
·
mysql
·
网络安全
·
ctf题目
·
ctfhub技能树
·
mysql结构
CTFHUB技能树之SQL——MySQL结构
开启靶场,打开链接:先判断一下是哪种类型的SQL注入:1 and 1=1#正常回显1 and 1=2#
南暮思鸢
2 个月前
数据库
·
经验分享
·
笔记
·
sql
·
网络安全
·
手工注入
·
ctf题目
CTFHUB技能树之SQL——报错注入
开启靶场,打开链接:输入1:没有回显出相关信息,初步判断是报错注入、时间盲注或布尔盲注输入1':显示出'1''和报错信息,说明没有闭合情况,是报错注入且是整数型注入
南暮思鸢
2 个月前
数据库
·
笔记
·
sql
·
网络安全
·
ctf题目
·
ctfhub技能树
·
整数型注入
CTFHUB技能树之SQL——整数型注入
开启靶场,打开链接:直接指明是SQL整数型注入,但还是来判断一下(1)检查是否存在注入点1 and 1=1#
南暮思鸢
2 个月前
经验分享
·
网络协议
·
web安全
·
http
·
burpsuite
·
ctf题目
·
ctfhub技能树
CTFHUB技能树之HTTP协议——响应包源代码
开启靶场,打开链接:是个贪吃蛇小游戏,看不出来有什么特别的地方用burp抓包看看情况:嗯?点击“开始”没有抓取到报文,先看看网页源代码是什么情况