菜鸡做题·20200418会员登陆页面(CTF)

最新推荐文章于 2026-03-26 10:36:32 发布
原创 最新推荐文章于 2026-03-26 10:36:32 发布 · 1.3w 阅读 · 4
本文介绍了一次CTF挑战,涉及会员登录页面的破解。通过F12查看源代码,发现账号admin和密码welcome_to_ctf。理解cookie和session的关系,利用Burp Suite抓包工具,修改PHPSESSID的Base64编码以获取flag。

题目地址:http://129.204.207.114

用火狐浏览器打开网址
登录页面

对于登录框 一般思路是
•爆破,一般的题目用户名都是admin
•Sql注入
•信息泄露

F12查看网页源代码
在这里插入图片描述
可以得到账号密码
账号:admin
密码:welcome_to_ctf

登录,进入flag.php页面
在这里插入图片描述
理解一下cookie和session的关系。
在这里插入图片描述
在这里插入图片描述
可以理解为,session是记录方拥有的真实记录,与cookie相对应。而cookie是凭证,与记录(session)不对应的凭证(cookie)无法得到正确的记录信息。
我们已经得到一个凭证(cookie)了,登录时会将

最低0.47元/天 解锁文章
wengbinqiang17
关注
很好的网站取色软件,与大家分享下
11-14
取色软件很好的网站取色软件,与大家分享下很好的网站取色软件,与大家分享下很好的网站取色软件,与大家分享下很好的网站取色软件,与大家分享下很好的网站取色软件,与大家分享下
关于服务器的使用——深度学习入门(1)
li_qyin的博客
12-28 6246
关于服务器的使用——深度学习入门(1) 一、必备软件 1.安装MobaXterm_20.5(推荐) 2.安装VSCode 二、在服务器创建新的用户账号 前提:已知服务器ip地址(xxx.xxx.xxx.xxx) 管理员账号及密码 1.用管理员账号登录服务器 Session—SSH—xxx.xxx.xxx.xxx—用户名—连接—输入密码—登录成功! 2.创建新用户 ①键入sudo su ②键入管理员密码 ③键入adduser your_name ④根据提示信息输入新用户密码 ⑤创建成功! 三、安装A
【buuctf】 NewStarCTF 公开赛赛道 web:Word-For-You、NotPHP
weixin_46497491的博客
09-22 2676
【buuctf】 NewStarCTF 公开赛赛道 web:Word-For-You、NotPHP
登录框拿flag
最新发布
skn57的博客
03-26 63
看到登录框 = 直接走这套流程,100% 拿 flag试弱口令(admin/admin)试万能密码(admin' or 1=1#)order by 猜字段union select 查库→查表→查列→拿 flag。
ctf-web-3 Welcome to ctf(任意文件上传)
m0_63554401的博客
04-21 1029
ctf-web-3 Welcome to ctf(任意文件上传)的Flag为:KEY{uP666_1nclud3_499998_is_Fun}
BUUCTF_极客大挑战 2019_2
qq_45628145的博客
05-03 881
PHP 进入题目之后,提示我们存在备份文件,扫出来www.zip。 里面存在class.php、index.php、flag.php。 这些就说明这是个反序列化的题目了,分析下代码,我们需要让username=admin,而且password!=100,先序列化。 得到 O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"%Namepass...
CTF竞赛write up
2301_79828820的博客
06-30 999
题目地址: http://a.y1ng.vip:1126/EzLogin/解题思路。3.使用BurpSuite爆破, 得到用户密码为administrator.1. 根据提示,发现登录用户名为admin;2.查看网页源代码, 发现该题是弱口令爆破。
每天一道CTF 第二天
scrawman的博客
03-01 962
今天这个题目很简单,但我还是做了好久。有一些payload之前试了没成功后面再试又可以了,搞得我也很疑惑,不知道自己是不是之前引号没打对还是空格没打对。 进入正题: [极客大挑战 2019]EasySQL 题目就告诉我们了是要SQL注入 在用户名和密码分别输入admin’,password,报错显示如下 admin,password’,报错显示如下 admin’,password’,报错显示如下 结合三种情况来看,username使用的是单引号,password使用的是双引号。或者再用admin'#
游戏 云游戏平台 低配手、电视、PCMAC电脑、平板 畅玩大型游戏
小刚刚技术博客
12-26 5653
【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> ...
CTF初学笔记解题-密码1
ilqgffvramusm2864的博客
03-28 4254
我的CTF解题:萌新_密码1
CTFWeb-BUUCTF竞赛真题WriteUp(1)_ctf no0b
yy1715713348的博客
03-15 4647
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真题环境:此处记录下部分 Web 题目练习过程。
WEB刷题第一天
m0_46336530的博客
05-06 1478
今天刷了第一道简单题 学到了万能密码 admin' or '1'='1 用户名和密码均输入万能密码: buuoj.cn/check.php?username=admin' or '1'='1&password=admin' or '1'='1 html5判断用输入密码,CTF中Web密码绕过(特殊的万能密码绕过)详解_kpbs的博客-CSDN博客可能做过CTF题的朋友们,都有一定的了解过Web登陆密码绕过这种类型的题目,绕过的方法也有很多,层次不穷,今天帮朋友的时候也遇...
青少年CTF训练平台 Web-Easy 登陆试试
xingjinhao123的博客
12-02 1675
青少年CTF训练平台 Web-Easy 登陆试试
个人的BUUCTF_Re之旅 SimpleRev_wp
weixin_62586193的博客
12-15 1245
把文件下载,用010 Editor打开,看到: 自然就知道这是个elf文件,而且是64位的,拖进ida看看: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char v4; // [rsp+Fh] [rbp-1h] while ( 1 ) { while ( 1 ) { printf("Welcome to C..
CTF web题总结--爆破用户名密码
bob的博客
08-31 1万+
1、burp爆破用户名密码 2、id,userid,useId多试几次 3、爆破后台目录,index.php,users.php,login.php,flag.php 4、脚本:# -*- coding:utf-8 -*- import httplib import re import urllibclass Attacker: def __init__(self, mode, url)
BUUCTF题目Misc部分wp(持续更新)
热门推荐
苦行僧的妖孽日常
11-05 1万+
BUUCTF题目Misc部分wp(持续更新)
NewStarCTF 2023 公开赛道 Week1
Fab1an的博客
10-02 3931
首先要通过Level 1 ,发现它是PHP的弱类型比较,只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等。数组为空,那么MD5加密之后都为0,那么就是相等的,满足条件,可以成功绕过。那么接下来需要绕过if(!打开之后,是一个登录界面,试一下管理员账号admin,密码123456,登录失败,那么我们抓包,然后爆破一下密码
CTF题解
qq_63613566的博客
07-04 798
m = ord(mstr[i]) # 将密文的第i个字母变为其ascii码值。m_str = 'afZ_r9VYfScOeO_UL^RWUc' # 密文。这个时候我们主要注意这个题目的名称:password,一般指的是你账号密码中的密码。因此,我们只需要编写一段python代码,通过ASCII码的运算,来得到flag。将ASCII码放入转换器,得到flag{Caesar_variation}得出信息点:与凯撒有关,意思是与移位有关。根据之前的题目猜测afZ_r与flag{对应。
实验吧CTF练习题---web---登录一下好吗解析
dingbai2663的博客
09-12 441
实验吧web之登陆一下好么 地址:http://www.shiyanbar.com/ctf/1942 flag值:ctf{51d1bf8fb65a8c2406513ee8f52283e7} 解题步骤: 1、看题目提示,说是把所有语句都过滤了,那就不要往注入语句那个地方想了 2、检查网页源代码,没有啥问题,尝试用一下万能密码 一:username:1'=...
记bugku的——“welcome to bugkuctf
01-13 276
今天终于拾起来ctf的比赛了,开始了练习之旅。今天写一道bugku上的题目wp,属于利用php源码泄漏的题目吧,我觉得不是很简单。。。所以把自己的思路放上来。 题目源头:http://120.24.86.145:8006/test1/ 题目打开后得到如下的信息,查看源码后发现 很显然想让我们利用源码去得到flag。这里我们稍微解释下这个源码的意思。 开始有三个变...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值