E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
电子邮箱攻防
攻防
世界-web-disabled_button
题目描述:按下那个不能按的按钮这里显然是前端做了限制,F12打开浏览器中工具,找到按钮元素对应的代码,将disabled=""删除删除之后,再点击按钮,就拿到flag了总结:这里主要考察对浏览器开发者工具的使用,以及一些基础的html语法,难度不大。
wuh2333
·
2023-10-21 00:45
安全
web安全
攻防
世界(web)---disabled_button
点开链接发现是“一个不能按的按钮”那个flag按钮不能用,有个非常简单粗暴的办法,按钮不能按那就想办法要他能按下去。从源代码入手,f12查看源代码,将disabled改成abled(不能改成能),然后发现按钮能按下去了,按下按钮flag出现
oooooooohhhhh
·
2023-10-21 00:15
CTF
网络安全
攻防
世界-WEB:disabled_button
题目:https://adworld.xctf.org.cn/challenges/problem-set-index?id=25首先看题目描述提到前端知识,联想到HTML,再提示一个不能按的按钮,结合题目名button很明显是涉及到HTMLbutton标签知识,最后通过disabled提示应该是按钮被禁用了知识补充button标签是什么意思:标签定义一个按钮。在button元素内部,您可以放置内
只会拔网线
·
2023-10-21 00:15
攻防世界
安全
学习
攻防
世界web篇-cookie
看到cookie立马就会想到F12键看cookie的一些信息我这个实在存储里面看的,是以.php点缀结尾,可以试一下在链接中加上.php得到的结果是这样这里,我就只能上csdn搜索一下了,看到别人写的是在get请求中可以看到flag值
、十一、
·
2023-10-21 00:14
编程与攻防网站靶场答题
web安全
攻防
世界web篇-backup
这是链接中的网页,只有一句话试着使用.bak点缀看看是否有效这里链接中加上index.php.bak让下在东西是一个bak文件,将.bak文件改为.php文件试试打开.php文件后就可以得到flag值
、十一、
·
2023-10-21 00:13
编程与攻防网站靶场答题
web安全
攻防
世界web篇-robots
打开网址后,发现是一个空白页面的网页但是,这个题目是robots,所以就联想到robots.txt这个目录,于是我就试了一下注意:这里有个php的文件,这个应该就是一个目录文件当输入后,直接回车,得到了flag值
、十一、
·
2023-10-21 00:43
编程与攻防网站靶场答题
web安全
攻防
世界--WEB题之disabled_button
问题描述:难度系数:一颗星题目来源:Cyberpeace-n3k0题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?题目场景:点击获取在线场景题目附件:暂无知识点:disabled属性:disabled属性规定应该禁用input元素。被禁用的input元素既不可用,也不可点击。可以设置disabled属性,直到满足某些其他的条
LT.XQ
·
2023-10-21 00:13
CTF学习--刷题
20220129--CTF刷题--disabled_button
攻防
世界--WEB新手第五题disabled_button
攻防
世界官网:https://adworld.xctf.org.cn/右键,查看页面源代码,看到可以尝试改前端:删去disabled=’’’’直接得到
qq_51550750
·
2023-10-21 00:13
CTF刷题
安全
web安全
攻防
世界disabled_button
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?思路:不能按的按钮,可能跟css的属性有关,利用控制台elements(元素)进行修改进入页面打开控制台得知:可以到input按钮中有个属性为disabled,当布尔属性disabled存在时,元素将不可变、不能聚焦或与表单一同提交。用户将不能在表单控件本身或其子控件进行编辑或
qq_55510415
·
2023-10-21 00:13
web安全
攻防
世界--disabled_button
成为ctf全栈之路之web第一题打开场景根据提示得知需要对网页进行修改成功能按按钮即可,由于学了一些前端基础可知,直接按f12编辑html元素即可得到flag:cyberpeace{d2121ccea1af3081228f0440e2e9ba72}
SONDER_null
·
2023-10-21 00:13
html5
攻防
世界之disabled_button(web简单)
老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?打开可以看到一个按钮,但是无法点击。按f12,打开代码(这里是可以互动的)。找到按钮位置删除属性:disabled按下回车,确认操作此时按钮已经可以点击了,单击得flagcyberpeace{29c1773768818beff268abccccc1fbc6}题外话:话说是不是所有的前端其实
0。0;
·
2023-10-21 00:12
攻防世界
web安全
安全
css
html
前端
七、
攻防
世界-disabled_button
按键不能点击,直接f12看源码,发现是由于input被设置成了disabled。第一种方式是删除disabled属性。然后发现按键可点点击即可得到flag。第二种方式是构造POST请求:auth=flag。如下图:
没有感情的二憨
·
2023-10-21 00:12
web安全
http
ctf-
攻防
世界-web:disabled_button
wp:一、提示是前端知识,有一个不能按的按钮,我们F12开发者工具来看看这个按钮:咦,有一个disabled=""只要把这个disabled=""删掉,按钮就可以按下了。点一下按钮,flag出现。完美二、或者审计代码,hackbar用post方式传参auth=flag知识点:HTML标签的disabled属性
2021gracedoudou
·
2023-10-21 00:11
#
web
前端
unctf
攻防
世界-web disabled_button
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?尝试点击按钮和题目提示的一样点击不了F12打开控制台,直接把input标签的disable属性删除掉双击选中disable删除就行点击flag按钮得到flagcyberpeace{92563f76cf22ccd27c837841fcddfd0d}
码啊码
·
2023-10-21 00:41
CTF
前端
web安全
安全
攻防
世界 baby-web续及disabled_button
分析Python脚本importrequests(引入第三方库,此库与网站、资源有关)url="http://61.147.171.105:64762/index.php"response=requests.get(url,allow_redirects=False)(请求目标地址,禁止重定向,具体意思即使访问index.php的内容而非1.php跳转之后的内容)if'FLAG'inrespons
e111111111128
·
2023-10-21 00:11
前端
python
开发语言
攻防
世界-web-新手区disabled_button
前言学习信息安全的大一新生,第一次接触
攻防
是从web新手练习区开始学习,现在写以下我对题目的总结。
D2FuZ3hpYW9xaW4
·
2023-10-21 00:40
web
攻防
世界-disabled_button
题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?这题没什么好说的,直接改一下前端的代码就可以按那个flag按钮了鼠标右键--检查或者直接键盘按F12查看前端代码找flag按钮的代码区将里面的disable改为abled,再点击一下页面的flag。就可以得到flagcyberpeace{1db8266a76b014b7082d
HEAVM
·
2023-10-21 00:40
CTF-Web
攻防世界-web新手
安全
web
渗透测试
攻防
世界web篇-disabled_button
一个不能按的按钮,试过点击,确实是点不了,所以只能查看源代码喽经过仔细查看,发现这里多了disabled,这个参数在linux中是禁止的意思,大概是这个意思吧,毕竟开机不自启就用这个参数在控制台这里删除这个参数实际看,看能不能点击结果还真的可以
、十一、
·
2023-10-21 00:39
编程与攻防网站靶场答题
web安全
蜕变:让一个巴特勒的森林狼击沉快船,让格里芬的大3双徒劳无功
全场下来,森林狼表现十分出色,虽然缺少了巴特勒这一
攻防
核心,但是森林狼在唐斯、蒂格和维金斯的率领下,全场打的有声有色,首发5人得分全部上双,尤其是维金斯,在进攻端大放异彩,狂砍40分外加6个篮板,蒂格30
掌趣体育
·
2023-10-20 23:12
Crypto(2)
攻防
世界-幂数加密
先看题,给出了flag格式和幂数加密的方式。附件里的内容为8842101220480224404014224202480122正常的二进制幂数加密只有0,1,2,3,4,5,是不会出现8的。通过百度了解到这是云影密码、简单说来就是以0为分隔符,将分割后的每个数字加起来,a-z对应1-26(关于二进制幂数加密和云影密码的具体介绍放在文章最后)那么可以手动计算,也可以写脚本。上脚本:a='884210
术业有专攻,闻道有先后
·
2023-10-20 12:34
#
cryptography
密码学
(1)
攻防
世界web-Training-WWW-Robots
1.开启环境,查看网页翻译一下2.前往robots.txt命令:http://61.147.171.105:57663/robots.txt3.前往fl0g.php命令:http://61.147.171.105:57663/fl0g.php4.得到flagcyberpeace{92ec1ef9b6d900100399093b9ae9e386}
术业有专攻,闻道有先后
·
2023-10-20 12:33
#
Web
web3
【网络空间实战
攻防
能力训练】DHCP欺骗
注意!!!!!本实验方法一定不要用来攻击公网的服务器,仅能在自己的虚拟机里进行操作!不然可能构成违法行为,大家一定注意!DHCP欺骗0x01实验环境搭建0x02部署DHCP服务器1、配置WindowsServer20162、在Windows2016Server上添加DHCP服务器3、设置KaliLinux与Windows10侧网段(VMnet1)的作用域4、在Vmware的虚拟网编辑器中,将VMn
Yeah’s blog
·
2023-10-20 07:50
NWPU
web
【网络空间实战
攻防
能力训练】TCP Flood攻击与UDP Flood攻击
注意!!!!!本实验方法一定不要用来攻击公网的服务器,仅能在自己的虚拟机里进行操作!不然可能构成违法行为,大家一定注意!TCPFlood攻击与UDPFlood攻击0x01实验环境搭建0x02TCPFlood攻击1、修改KaliLinux的IP地址参数2、在Windows2016上使用以下命令设置IP地址参数3、在KaliLinux上使用自带命令hping3攻击Windows2016Server4、
Yeah’s blog
·
2023-10-20 07:19
NWPU
tcp/ip
udp
网络协议
【网络空间实战
攻防
能力训练】DNS欺骗
DNS欺骗0x01环境准备0x02实验过程1.设置KaliLinux主机、WindowsServer2016服务器与Windows10在同一个可以上网的网段。分别记录各个主机的IP地址,并检查他们之间能否ping通。配置WindowsServer2016打开其IIS的Web服务。2.在KaliLinux的root终端中打开并编辑ettercap工具执行dns欺骗时的参数文件3.图形化界面打开Kal
Yeah’s blog
·
2023-10-20 07:45
NWPU
web
web安全
Web
攻防
03_MySQL注入_数据请求
文章目录PHP-MYSQL-数据请求类型1、数字型(无符号干扰)2、字符型(有符号干扰)3、搜索型(有多符号干扰)4、框架型(有各种符号干扰)PHP-MYSQL-数据请求方法数据请求方法GET:POST:Cookie:SERVER功能点举例:PHP-MYSQL-数据请求格式1、数据采用统一格式传输,后端进行格式解析带入数据库(json)2、数据采用加密编码传输,后端进行解密解码带入数据库(base
chuan川、
·
2023-10-20 06:31
安全学习-Web攻防
mysql
安全
php
红队专题-从零开始VC++C/S远程控制软件RAT-MFC-[5]客户端与服务端连接
红队专题招募六边形战士队员端操作系统SystemInfo类获取系统信息发送系统信息头文件声明头文件调用未找到来自OleAcc.dll的导入LINK招募六边形战士队员一起学习代码审计、安全开发、web
攻防
amingMM
·
2023-10-20 01:14
c++
c语言
mfc
2017-2018-2 20179207 《网络
攻防
技术》第五周作业
kali漏洞分析之数据库评估(一)(二)web层与数据库连接的漏洞在安全测试中并不少见,owasp曾经的top之首sql注入漏洞。数据库评估软件1.bbqsql是一个pyth编写的盲注工具,当检测可疑的注入漏洞时会很有用。同时bbqsql是一个半自动工具,允许客户自定义参数。2.dbpwaudit数据库用户名密码枚举工具。DBPwAudit—DataBasePasswordAudit功能:通过挂载
weixin_30872671
·
2023-10-19 22:53
2018-2019-2 20189221 《网络
攻防
技术》第五周作业
2018-2019-220189221《网络
攻防
技术》第五周作业学习目标Web架构HTTP协议Web应用安全Web浏览器安全视频学习(16-20)漏洞分析之数据库评估(一)BBQSql:一种用Pyhthon
weixin_30780649
·
2023-10-19 22:22
数据库
java
web安全
2017-2018-2 20179202《网络
攻防
技术》第五周作业
漏洞分析之数据库评估(一)BBQSQL一种用Pyhthon写的SQL盲注框架。当发动QL注入漏洞攻击时,它将非常有用。BBQSQL是半自动工具,允许许多难以触发的SQL注入变得用户化。BBQSQL最重要的是它不关心数据或数据库。DBPwAudit功能:通过挂载字典对目标数据库进行密码暴力猜解,目前支持的数据库包括SQLServer、MySQL、Oracle、DB2破解SQLServer数据库命令实
weixin_30699443
·
2023-10-19 22:52
数据库
操作系统
java
2018-2019-2 20189215 《网络
攻防
技术》第五周作业
《Python黑帽子》第四章代码托管:[https://github.com/jsjliyang/python3-Black.Hat/tree/master/chapter4)教材《网络
攻防
技术》第十一
weixin_30625691
·
2023-10-19 22:51
数据库
php
javascript
ViewUI
2018-2019-2 20189206 《网络
攻防
实践》 第五周作业
#2018-2019-220189206《网络
攻防
实践》第五次作业课本内容web应用程序体系结构及其安全威胁web应用体系结构web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态
weixin_30696427
·
2023-10-19 22:51
数据库
javascript
操作系统
ViewUI
2017-2018-2 20179306《网络
攻防
技术》第五周作业
Web应用程序安全
攻防
本章从WEB技术的服务端和浏览器端来分析WEB安全
攻防
技术的轮廓。Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态。
weixin_30512043
·
2023-10-19 22:21
数据库
java
shell
2017-2018-2 20179204《网络
攻防
实践》第五周学习总结
1.Web应用程序安全
攻防
1.1web应用体系结构及其安全威胁web应用体系结构“瘦”客户端:浏览器,完成数据显示与展示内容的渲染功能;“胖”服务器:web服务器软件、web应用程序、后端数据库。
weixin_30622181
·
2023-10-19 22:21
Web
攻防
02-MySQL注入概述&MySQL架构&注入获取数据
文章目录SQL注入概述:sql注入的原理:sql注入攻击:MYSQL-Web组成架构MYSQL5.0以上版本:自带的数据库information_schemaMYSQL注入流程MYSQL注入查询数据过程查询数据流程靶场案例MYSQL-SQL跨库注入查询跨库注入:影响条件:应用:MYSQL-SQL文件读写影响条件:利用思路-读写的路径的问题:SQL注入概述:sql注入的原理:接收的数值未进行过滤直接
chuan川、
·
2023-10-19 22:40
安全学习-Web攻防
mysql
安全
学习
sql
【burpsuite安全练兵场-服务端1】SQL注入-17个实验(全)
殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、
攻防
世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等
黑色地带(崛起)
·
2023-10-19 21:41
#
【万文】bp靶场
安全
web安全
网络
【Python脚本进阶】2.3、利用FTP与Web批量抓“ 肉机”(中):使用Ftplib暴力破解FTP用户口令
殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、
攻防
世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等
黑色地带(崛起)
·
2023-10-19 15:01
【Py】Python脚本
python
web安全
【Python脚本进阶】2.3、利用FTP与Web批量抓“ 肉机”(终)
殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、
攻防
世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等
黑色地带(崛起)
·
2023-10-19 15:01
【Py】Python脚本
python
web安全
【Python脚本进阶】2.4、conficker蠕虫(终)
殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、
攻防
世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等
黑色地带(崛起)
·
2023-10-19 15:01
【Py】Python脚本
python
web安全
攻防
世界-WEB-unserialize3
题目如下:注意这里需要对php有一定的了解,不了解的话,可以网上查下__wakeup函数是干嘛的,我查到的结果如下:若在对象的魔法函数中存在的__wakeup方法,那么之后再调用unserilize()方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行注意到这里最后一行是?code=,这里提示我们需要构造cod
wuh2333
·
2023-10-19 08:59
安全
web安全
攻防
世界--Web进阶--unserialize3
xctf类不完整,少了一个大括号。并且给了?code提示我们用url进行对code进行赋值我们可以利用code进行执行url输入。题目是Unserialize提醒我们是反序列化。所以我们尝试输入序列化后的代码付给code看看会发生,什么。用下面的网址进行运行phpdemo_func_string_serialize在线代码实例_w3cschoolO:4:"xctf":1:{s:4:"flag";s
Zhao蔫儿
·
2023-10-19 08:59
xctf攻防世界Web
html5
html
css
攻防
世界-unserialize3
得到源码classxctf{public$flag='111';publicfunction__wakeup(){exit('badrequests');}?code=这是一个利用反序列字符串来进行绕过的题,根据提示我们要构造code参数,但是需要绕过wakeup函数查找资料得知wakeup为魔法函数,在进行unserialize反序列化的时候,首先就要查看有无该函数有的话就会先执行他:绕过:通
r1ng_x
·
2023-10-19 08:58
wp
web安全
安全
攻防
世界web篇-Training-WWW-Robots
直接点击给出的地址,然后会转到另一个网页界面,在这个界面,已经给出了提示,robots.txt在浏览器中,直接在地址的后面加上robots.txt,会进到下面这个界面因为对php语言一窍不通,所以这里纯粹就是懵的,不过还好,证明懵对了然后再地址后面将robots.txt改为fl0g.php,就可以得到flag值
、十一、
·
2023-10-19 08:28
编程与攻防网站靶场答题
web安全
攻防
世界web篇-PHP2
直接点击进入到http网页中,会得到这样一个界面这里,我最开始使用了burp什么包也没有抓到,然后接着又用nikto进行探测,得到的只有两个目录,当时两个目录打开后,一个是fond界面,一个是这个网页的界面因为不知道该怎么解,就看了看百度,答案还挺多的,我也就不说思路了,因为对php我也不晓得在index.php后面加上s,也就是index.phps将admin进行解码,我这里使用的burp进行的
、十一、
·
2023-10-19 08:28
编程与攻防网站靶场答题
web安全
攻防
世界-web-unserialize3
首先看题目:classxctf{public$flag='111';publicfunction__wakeup(){exit('badrequests');}?code=题目给的提示已经很明显了,是php的反序列化漏洞。首先补充一下序列化和反序列化的相关知识,序列化和反序列化可以简单理解为一个打包和解包的过程(个人理解),就是通过这一过程将一个东西转变成另外一种形式(本质是一样的),这样转换的目
wallacegen
·
2023-10-19 08:58
web
php反序列化
攻防
世界 web write-up unserialize3
这里写目录标题【题目】【思路】【总结】【题目】【思路】给了一串php代码,且里面包含了魔术方法__wakeup(),知道当序列化字符串表示对象的属性个数大于真实个数的属性时会跳过__wakeup的执行。先构建一个xctf的对象,对其进行序列化,将得到的序列化字符串中的’:1:‘改成’:2:’,就可以改变其表示对象属性个数的值。得到:再构造url中提交的code参数即可获得flag:【总结】主要考察
Mr.DC30
·
2023-10-19 08:27
攻防世界
web
安全
【
攻防
世界-Web】unserialize3解题思路
目录题目直接显示网页源码解题思路构造payload得到flag题目直接显示网页源码classxctf{public$flag='111';publicfunction__wakeup(){exit('badrequests');}?code=解题思路本题需要利用反序列化字符串来进行解题,根据源码提示我们需要构造code。而__wakeup()在PHP中被称为魔术方法,在进行反序列化时,unseri
一个手掰橙
·
2023-10-19 08:27
安全
php
web安全
攻防
世界-web-Web_php_unserialize
获取环境file=$file;}function__destruct(){echo@highlight_file($this->file,true);}function__wakeup(){if($this->file!='index.php'){//thesecretisinthefl4g.php$this->file='index.php';}}}if(isset($_GET['var']))
mlws1900
·
2023-10-19 08:57
攻防世界web
ctf
前端
servlet
php
安全
四、
攻防
世界-unserialize3
这一道题目设计PHP的序列化和反序列化,具体介绍和题解详见博客。https://www.cnblogs.com/Atkx/p/14264135.htmlphp在线反序列化工具unserializeserializephp在线反序列化工具unserializeserialize-1024Tools(w3cschool.cn)绕过魔法函数wakeup后进行反序列化得到结果。
没有感情的二憨
·
2023-10-19 08:25
web安全
php
攻防
世界-Web-Web_php_unserialize
项目场景:file=$file;}function__destruct(){echo@highlight_file($this->file,true);}function__wakeup(){if($this->file!='index.php'){//thesecretisinthefl4g.php$this->file='index.php';}}}if(isset($_GET['var'])
七堇墨年
·
2023-10-19 08:55
Web
安全
web安全
php
攻防
世界web进阶区unserialize3
打开链接代码审计,初步判断code传参获取flag,序列化绕过_wakeup()函数得到payload编写一个xctf类并序列化,运行代码得到payload:O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;}__wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行所以将1改为比1大的就行,code传
gongjingege
·
2023-10-19 08:54
ctf
CTF
上一页
16
17
18
19
20
21
22
23
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他