基于Servlet+jsp的web计算器 这次老大为了让我们自己复习web中页面的跳转给布置得任务 天下代码一大抄,关键看你怎么抄 首先我想到的计算算法不是什么堆栈,是简单的(其实很复杂,但是我就只需要知道有这个东西,东西别人做好了...传说中的CV大法好?Emmm,当你知道有这么个算法但是不会自己写可是自己会用的时候,也就相当于...自己会了.....) 废话不多说一下是收集的正则工具类,支持括号运算 package pers.cal.util; import java.util.regex.…

MVC模式 模式主要的任务是帮助开发者解决一类问题. MVC模式主要是用于规划你的网站的开发的一个基本的结构. Servlet记住充当的是控制器层.cn.itcast.controller Java类主要处理业务逻辑.cn.itcast.bean JSP主要负责的是数据页面显示. 对于一个比较传统的且业务不是很复杂的网站应用那么完全没有必要分别使用以上三种技术.因此可以使用JSP+JavaBean直接处理. 案例一: Web计算器 1. 编辑一个cal.jsp页面 <body> <!--…

Bugku练习题---Crypto---聪明的小羊 flag:flag{6fde4163df05d900} 解题步骤: 1.观察题目,下载附件 2.根据题目描述,判断是栅栏密码,位移2位,白给题,上网随便找一个在线加解密网站进行破解 3.得出答案,提交完成 知乎地址:https://www.zhihu.com/people/yi-kuai-xiao-bing-gan-43-64/postsCSDN地址:https://blog.csdn.net/liu914589417欢迎关注评论,耶斯莫拉…

Bugku练习题---MISC---1和0的故事 flag:flag{QR_c0de_1s_1nterest1n9} 解题步骤: 1.观察题目,下载附件 2.不得不说这道题挺贵的,打开是这个样子的,由0和1组成的字符 3.观察了一会,感觉可能是跟颜色有关,黑白两色,可能是二维码,上脚本解决这道题,脚本如下: 1 import xlwt 2 3 #创建一个xls,需要安装xlwt环境库 4 book = xlwt.Workbook() 5 6 #创建一个样式(黑色填充,无边界) 7 style =…

Bugku练习题---Web---计算器 flag:flag{8b4b2f83db2992d17d770be1db965147} 解题步骤: 1.观察题目,打开场景 2.场景打开后发现是一个验证码界面,如下所示 3.尝试输入,发现只能输入一个数字,由此确定源代码有问题,得掌握基本的Html5,检查一下源代码 4.这很好办了,检查修改一下不就得了,如下所示 5.修改完以后发现可以填写两个字符了,输入答案87,得到flag 6.提交答案,完成 知乎地址:https://www.zhihu.com/p…

Bugku练习题---MISC---easy_nbt flag:flag{Do_u_kN0w_nbt?} 解题步骤: 1.观察题目,下载附件 2.通过观察题目描述和压缩包中的文件,发现这个好像是MC的一个游戏数据 3.随意看了看这些文件,感觉没什么有价值的信息,通过查看分析发现level.dat文件可能有点意思,打开看看(下面还有很多,忽略掉) 4.分析开头的Data,这是游戏数据,这里面可能会隐藏东西,搜索flag看看,发现类似答案 5.尝试提交flag,答案正确,解答完成 知乎地址:http…

Bugku练习题---MISC---FileStoragedat flag:bugku{WeChatwithSteg0} 解题步骤: 1.观察题目,下载附件 2.下载后发现是一个后缀名为.dat的文件,经过长时间的知识积累(百度)知道了这是微信的一种文件格式,这里可以用一个大佬开发的dat文件解码工具,网址送给你们 网址:https://gitcode.net/mirrors/PiaoZhenJia/WeChatDatFileDecoder?utm_source=csdn_github_acce…

Bugku练习题---MISC---啊哒 flag:flag{3XiF_iNf0rM@ti0n} 解题步骤: 1.观察题目,下载附件 2.下载以后发现是一张图片,从表面看没有什么有价值的信息 3.直接上HxD或Winhex查看十六进制,发现在结尾处有一个PK,这证明了这张图片有压缩包 4.改为压缩包格式,打开后发现有密码,尝试暴力破解并没有什么用,感觉密码量不小,换一种方法,查看一下图片的属性 5.感觉有点像十六进制,用十六进制转一下文本试试看 6.得出答案了,提交试试看,flag不对,那这个可…

Bugku练习题---MISC---蜜雪冰城~ flag:flag{1251_521_m1xueb1n9chen9ti@nm1mi} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现有好几个文件,打开一下txt和图片,观察一下其中的信息,发现图片的属性和文档中的内容能对应上,如图 3.由此确定,就是二进制,经过转换发现(0,0,0)代表1,(255,255,255)代表0,按顺序列出进行二进制字符换算,得到如下内容 4.尝试输入flag,发现并不对,感觉这个开头应该是一个软件,上百度搜索果…

计算器 打开网页,想输入正确的计算结果发现只输进去一位数??? 遇事不决先F12看一眼源码,发现flag…

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getS…

这道题目我弄了好久,最后问了朋友,然后在朋友的帮助下,将flag找到了 这里写一下解题方法,记录一下 一进到这道题,看到了php?id=1,就很熟悉,很有可能是一道sql注入的题目,肯定是要试一下最简单的测试,(哪怕知道不可能是什么都没有过滤) 单引号出错 多加一个%23,发现不出错了 加上' and 1=1%23 又出错了,可能是过滤了,但是不知道过滤了什么 这里有一个很好的方法知道过滤的是什么 使用异或注入 在id=1后面输入 '^(0)^' 发现不出错,那就将0换成1=1 如果出错,那就是…

(前排提示:这次思路写的极不清晰,可能只有我自己看的懂,打个预防针QAQ) 首先看题: 扫描,拿到了 .index.php.swp 这个文件是可以复原的. 上面的是重要的源码.审计之后发现这是CBC加密. 题目也给了提示,CBC字节翻转攻击.那就好说很多了,百度呗! 首先 CBC 是什么? 电码本模式(Electronic Codebook Book,简称ECB):是一种基础的加密方式,密文被分割成分组长度相等的块(不足补齐),然后单独一个个加密,一个个输出组成密文. 密码分组链接模式(Ciph…

sql注入2 200 http://123.206.87.240:8007/web2/ 全都tm过滤了绝望吗? 提示 !,!=,=,+,-,^,%…

最近bugku的web和杂项刷了多半,突然心血来潮想试试社工题,bugku的社工题比较基础,而且题量不多,和大家分享一下writeup. 1.密码 根据提示,多猜几次密码就对了,然后得到flag. 2.信息查找 直接百度,发现了那个新闻,找到群号,提交flag 3.简单个人信息搜集 将压缩包下载下来,打开,发现有密码,而且也没有任何提示,凭空也猜不出来. 没办法,网上找了个writeup,发现居然是zip伪加密,没听说过~~ 百度了一下伪加密,涨姿势了. 使用winhex打开压缩文件找到pk头,…

2020.09.17 全面复习web,给自己定个目标,后天之前结束BugKu-Web,开始逆向. 经验教训 php弱等于用于绕过==,弱等于之前会把等号两边转化为同一类型变量: 全局变量全局变量全局变量!!$GLOBALS.$_SERVER.$_REQUEST.$_POST.$_GET.$_FILES.$_ENV.$_COOKIE.$_SESSION 浏览器的检查元素的网络中内容不一定可信,因为浏览器在接受数据的时候会过滤不符合规则的内容,但是flag可能就藏着里边 伪装成本地登陆添加请求头X-…

六.设计模型1和设计模型2(MVC)1.模型1:JSP+JavaBean2.模型2:MVC M:Model模型 JavaBean V:视图 JSP C:控制器 Servlet 七.模型1开发一个简单的web计算器八.EL表达式EL:Expression Language的缩写,表达式语言.基本语法形式:${EL表达式}1.作用:替换掉JSP中的java表达式<%=%>2.功能: a.从域中获取数据,并把数据显示在页面上.不会出现控制指针异常. ${p.name}: Java: Person p…

2019.2.10 过年休息归来,继续做题. bugku的web题,地址:https://ctf.bugku.com/challenges 1. http://123.206.87.240:8002/web16/ 提示是备份,不由自主想到bak.这里可以扫路径或者自己多试试: http://123.206.87.240:8002/web16/index.php.bak 就是备份,直接保存下来. 打开后是一段源代码: 大概意思就是,获取key1和key2,但是会过滤掉你输入的key. 然后如果两个…

个税调整为5000计划实施是今年10月份.而明年一月份全面实施, 马上快到5000个税实施的日子了,当到了个税实施日子时,必定网络会产生热点,这个时候需要就是蹭热点的时候到来时. 全国网友肯定都会关心个税问题.这是必定的,关心哪些问题呢,脑子里面有浮现了网友想要知道的问题点了, 这里罗列网友可能关心的问题:个税如何计算,扣费了哪些内容,扣了多少,改税后与改税前实际个税对比;到手工资差异多少. 这些问题如何帮忙他们解决了,那就是提前准备好,在这里准用javascript写一个税5000的计算工具网…

刷bugku的web时需要用python写脚本,web方面需要安装对应的模块,下面就分享一下我在安装模块时碰到的一些问题以及解决方法 首先找到pip文件所在的位置 打开cmd,cd文件位置,打开文件夹. 输入pip install  模块名称  回车 .......报错了,红字提示访问源失败. 请教了一下大佬,可以尝试更新一下源    python -m pip install --upgrade pip 更新到最新版,还是报错........ 可以换个源试试,提供几个源列表 豆瓣  http:…

@双系统装kali,专门渗透的,ubantu要自己下工具,但是娱乐性比较好 @做题 i春秋 https://www.ichunqiu.com/battalion @网站 xctf近期赛事https://www.xctf.org.cn/ctfs/recently/ i春秋https://www.ichunqiu.com/ CG-ctf   https://cgctf.nuptsast.com/challenges#Crypto 攻防世界 bugku (队长经常康来着)安全客https://www.…

后面的题目相对于之前的题目难度稍微提升了一些,所以对每道题进行单独的分析 27题 <?php if(!$_GET['id']) { header('Location: index.php?id=1'); exit(); } $id=$_GET['id']; $a=$_GET['a']; $b=$_GET['b']; if(stripos($a,'.')) { echo 'Hahahahahaha'; return ; } $data = @file_get_contents($a,'r'); i…

首先说一下我的主用工具,在windows下,主要是用这些,用到其他特定的工具会在题里说. 0.浏览器:火狐,配合Max hackbar插件 (这个是免费的) 1.抓包改包:burpsuite.https://portswigger.net/burp 2.目录扫描:dirmap.https://github.com/H4ckForJob/dirmap 3.sql注入:sqlmap.https://github.com/sqlmapproject/sqlmap 4.连接木马:菜刀.https://g…

1.web2 打开网页: 哈哈,其实按下F12你就会发现flag. 2.计算器 打开网页,只是让你输入计算结果,但是发现只能输入一个数字,这时按下F12,修改一下参数,使之可以输入多个数字,修改后输入结果就拿到flag了. 3.web基础$_GET 30 打开网页,审计一下大概是要让其得到一个what=flag,于是在URL后面加上?what=flag,就得到flag了. 4.web基础$_POST 30 打开网页,审计一下大概是要让你上传一个what=flag,用hackbar来post一下就…

bugku地址链接:https://ctf.bugku.com 1.web2 浏览器就显示一堆动态笑脸,时间长了密集恐惧症了. 解法1: F12查看源码 解法2: 地址栏输入: view-source:http://123.206.87.240:8002/web2/ 计算器 考察: 前端基础知识,maxlength的使用. 前端常用F12调试更改,把值改成100突破限制即可提交结果,弹窗flag 解法1:想办法输入正确的答案,来获得flag <input type="text"…

在几个月前写过一遍关于: PCB SI9000阻抗计算引擎Web方式实现方法  ,最近开始参考Polar SI9000的界面,将阻抗计算器转为网页版的方式实现.   一.Web版SI9000阻抗计算器网址 http://pcbren.cn/websi9000/   二.阻抗计算界面操作效果       三.阻抗计算WebApi地址 1.阻抗正算WebAPI http://pcbren.cn:8030/api/impcalc/ImpCalcMod 2.阻抗反算WebAPI http://pcbre…

前言 国庆这几天感觉没什么好玩的地方,家又离的太远,弱鸡的我便决定刷刷题涨涨知识,于是就有了这篇文章.. 正文 写的不对的地方欢迎指正 web26 打开直接就是代码,这应该就是一道代码审计的题了 这里主要需要绕过第一个正则匹配,同时要令$result为真就能得到flag了 \d+匹配多个数字字符 s 特殊字符圆点 . 中包含换行符 D 如果使用$限制结尾字符,则不匹配结尾换行;(详细可百度正则表达式修饰符)  这里的/\d+/sD是用来匹配数字,只需字符串就可以绕过   is_numeric()…

Bugku CTF练习题---MISC---贝斯手 flag:flag{this_is_md5_and_base58} 解题步骤: 1.观察题目,下载附件 2.下载后进行解压,得到了一张图片.一个压缩包.一个文档 3.查看一下压缩包,有密码,先不管了,看看介绍,说到了缝纫机乐队女主角巴拉巴拉的,没有啥价值,女神是古力娜扎,压缩包有密码,迷茫 4.突然注意到介绍的文档中右侧滚动条可以拖到最下面,斯国一内,是flag提示,古力娜扎的出生年份咯 5.百度搜索得到压缩包解压密码,也可暴力破解打开,得到f…

Bugku CTF练习题---MISC---telnet flag:flag{d316759c281bf925d600be698a4973d5} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现是一个pcapng格式的文件,数据包咯,上Wireshark打开看看 3.按照习惯,直接追踪流,没想到啊没想到 4.得到答案,提交完成 知乎地址:https://www.zhihu.com/people/yi-kuai-xiao-bing-gan-43-64/posts CSDN地址:https:/…

Bugku CTF练习题---MISC---眼见非实 flag:flag{F1@g} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现是一个压缩包,打开是一个Word文档,观察其中的内容,除了开头的PK没有发现任何有用的信息,判断是压缩包格式 3.改为压缩包之后,发现其中有好多个文件,接下来通过全局搜索发现document.xml这个文件有点东西,打开看一下 4.发现flag答案位置,如下图 5.复制提交答案,完成 CSDN地址:https://blog.csdn.net/liu91458…