贵州网站集约化建设,wordpress什么插件好,美工培训电商设计培训班,空间信息网站前言#xff1a;#xff08;博主个人学习笔记#xff0c;不用看#xff09;web练习第二周#xff0c;仅做出前3题。相比于第一周#xff0c;难度大幅增加#xff0c;写题时就算看了wp还是像个无头苍蝇一样到处乱创#xff0c;大多都是陌生知识点#xff0c;工具的使用…前言博主个人学习笔记不用看web练习第二周仅做出前3题。相比于第一周难度大幅增加写题时就算看了wp还是像个无头苍蝇一样到处乱创大多都是陌生知识点工具的使用也是一个严重问题。 这里是目录 1.Training-WWW-Robots2.Follow me and hack me3.导弹迷踪4.Flag点击就送5.作业管理系统6.inget7.fileclude8.fileinclude9.easyupload 1.Training-WWW-Robots 题目描述:暂无 1.进入场景看到一段英语大致意思就是让你搞懂什么是robot协议咱们在url末尾添加robots.txt后访问。 2.根据提示不允许访问 /fl0g.php, 那咱们就访问它得到flag。 2.Follow me and hack me 1.进入场景可知需要分别进行一次get和post传输数据按照顺序首先get传输页面发生变化 2.再进行post传输借助hackbar工具。 3.得到flag 3.导弹迷踪 题目描述 你是一颗导弹你需要飞到最后通过6道关卡就能拿到flag哦~ 试了试这游戏打到了第三关我还挺强的ψ(∇´)ψ。 1.咱们直接F12进入开发者模式查看js直接找到了flag。 2.需要注意的是题目要求flag形式为NSSCTF{}即flag要写成NSSCTF{y0u_w1n_th1s_!!!} 以下都是不会做看wp的题目总结所得
4.Flag点击就送
了解session伪造json格式flask框架使用flask-session-cookie-manager脚本。 flask框架的session是存储在客户端的因此session可能被恶意篡改而flask通过密钥对数据进行签名来防session被纂改。 5.作业管理系统 1.进入场景F12试试发现默认账户及密码登入系统止步于此 2.在界面各种创建上传文件发现没什么用看了wp上传一句话木马蚁剑连接即可找到根目录的flag。学会了使用蚁剑工具 6.inget
通过此题初步了解了渗透的概念。 题目描述:无 根据题目提示尝试渗透在url末尾添加?id1or1-具体原理暂不知后访问得到flag。 7.fileclude
初识php伪协议绕过看一段php代码使用hackbar工具post访问得到一串字符base64解码得flag。
8.fileinclude
利用伪协议php://filter,看一段php代码使用hackbar工具cookie访问得到一串字符base64解码得flag。
9.easyupload
了解以下知识点 本题需要利用文件上传漏洞点通过绕过服务器的安全防护达到getshell的目的 本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行 这里需要绕过的点如下 检查文件内容是否有php字符串 检查后缀中是否有htaccess或ph 检查文件头部信息 文件MIME类型 摘自官方wp
