其他CTF题目(记录备忘)

最新推荐文章于 2023-10-11 14:51:59 发布
VIP文章 最新推荐文章于 2023-10-11 14:51:59 发布
阅读量3.6k 收藏 3
点赞数
分类专栏: CTF学习 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gwenchill/article/details/48105225
版权

1、ISG2014 SQLMAP Misc 100
附件文件下载:http://www.2cto.com/uploadfile/2014/1013/20141013055722355.zip
题目给了一个sqlmap数据包,查看发现是通过逐位猜解的方式获得key,语句类似

/message.php?id=1 AND ORD(MID((SELECT IFNULL(CAST(`value` AS CHAR),0x20) FROM isg.flags ORDER BY `value` LIMIT 0,1),34,1))>1

首先将pcap包的字符串导出,指令为:

strings sqlmap.pcap | grep isg.flags > 11.txt

将前面的几行去掉,从正式猜解句:GET /message.php?id=1 AND ORD(MID((SELECT IFNULL(CAST(value AS CHAR),0x20) FROM isg.flags ORDER BY value LIMIT 0,1),1,1))>64 开始。将pcap文件中的http对象导出来,文件内容类似:

Message #1 AND ORD(MID((SELECT IFNULL(CAST(`value` AS CHAR),0x20) FROM isg.flags ORDER BY `value` LIMIT 0,1),1,1))>64: The quick brown fox jumps over the lazy dog

若条件成立,

最低0.47元/天 解锁文章
gwenchill
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-入门练习题
10-30
题目来自于蓝盾服务器,难度适中,适合于练习,需要wp请留言
SQLmap在进行SQL注入时的整个流程
dust_hk的博客
08-06 8058
文章转自信安之路,作者:sher10ck 很多小伙伴在发现或者判断出注入的时候,大多数选择就是直接上 sqlmap,结果往往也不尽人意,于是就有想法来写写 sqlmap 从执行到判断注入,到底发生了什么? 本文就用我们看的见的角度来分析,看看 sqlmap 到底发送了什么 payload,这些 payload 是怎么出来的,不深入代码层面。 技术有限,若有错误指出来,感激不尽。 测试环境 sqlm...
Bugku--信息提取--分析
hanniba_chen的博客
06-26 1482
题目提示这是一道sqlmap注入过程分析题, 所以我们直接过滤出http流量. 直接 文件->导出分组解析结果->为CSV 过滤出http流量 经过观察, 可以发现这是一次sqlmap注入过程. 导出分组解析结果为csv文件, 接下来的操作就是先将url编码转换过来, 找到注入flag的地方. 发现是从编号806的数据包开始: "806","11.987578"...
【网络安全】「漏洞原理」(二)SQL 注入漏洞之理论讲解
最新发布
顶峰
10-11 1181
严正声明:本博文所讨论的技术仅用于研究学习,旨在增强读者的信息安全意识,提高信息安全防护技能,严禁用于非法活动。任何个人、团体、组织不得用于非法目的,违法犯罪必将受到法律的严厉制裁。
CTF例题合集(1)
weixin_51339377的博客
08-25 5812
判断出来闭合是单引号 接下来构造完整的闭合语句 发现回显正常 说明闭合差不多成功!可以使用and 1=1 和and 1=2进行控制性测试 这里不演示。1.用burp抓包登录进入,任意输入账号(除了admin)和密码即可,注意网页对admin账户最开始做了限制,所以admin是没办法登录进去的。(修改账号提交): nctf.nuptzj.cn/web13/index.php?状态码200表示请求成功 状态码401表示未授权访问 也就是登录失败。说明有3列在这个数据库中 接下来可以开始进行数据库的注入操作。.
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就...
网络安全攻防大赛ctf题目
03-09
网络安全攻防大赛ctf题目
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发现cyberchef新用法
常规的CTF题目解析.pdf
08-07
高级题目简直就是变态的存在啊··· 当然其中除了一些其他题目还有一些送分题。CTF不是一场考试,而是一场讲究团队合作,耐心与细心的考验,合理的规划。你,不是一个人在战斗! Content Of The Topic: xxoo 介绍 BT...
zlib源码分析—compress函数
肥叔菌的博客
10-24 9231
本篇博客的目的是分析compress.c中的函数,主要目的是学习deflate函数的使用。先从compress函数说起,compress函数其实就是以压缩级别Z_DEFAULT_COMPRESSION调用函数compress2。从zlib.h中第190行的宏定义可以看出zlib支持的压缩级别分为Z_NO_COMPRESSION(不压缩模式)、Z_BEST_SPEED(最快速度压缩模式)、Z_BEST_COMPRESSION(最高压缩率压缩模式)、Z_DEFAULT_COMPRESSION(默认压缩模式)。
ctf解密图片得到flag_CTF中图片隐写的一些整理总结
weixin_39983223的博客
12-20 7871
对历年来国内外CTF中常见的题型图片隐写的一些总结,本文长期更新,及时补充新的题型。对历年来国内外CTF中常见的题型图片隐写的一些总结赛题XMAN-qualifiers-2017 : Misc/SimpleGIf考察点Gif文件头隐写相关技巧Python 脚本编写工具010EditorLinux identify命令Visual Studio Code附件WriteupGIF头补全首先用file查...
ctfshow-MISC入门-1-24
Wkc_03的博客
05-26 471
过去的JPG图片是不含内嵌缩略图的,但现在为了能让大家快速查看其缩略图,研发PEG格式的专家组就制定了多一项标准在图片文件中记录了一些EX℉信息。数码照相机拍出的图片带有相机的很多参数,这都属于EXIF信息,其中缩略图也是一部分。CRC 码是 循环冗余校验码 的简称,是 png 图片中一种的数据, 是目前使用非常广泛的数据校验方式,不仅能校验传递过来的数据正确性,还能筛查出哪一位出现了错误。看网上提示多的那两位是flag的位置,才恍然大悟,这里也加了混淆,即需要隔位取,所以不能直接strings出来。
布尔盲注脚本-sqlilabs-less6
wuerror的博客
02-01 378
写这个起因是用sqlmap跑完,从日志里看它payload想自己复现一下。 不过sqlmap好像并没有识别数据库名的长度,而是直接从第一位开始判断。也可能它payload混在了前面识别类型的里面我没注意。判断库名的部分payload如下 ID:1" AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,1))>64# ID:1" ...
CTF之misc-日志分析
热门推荐
Battery的博客
05-04 8万+
1、注入审计 出题人通常会使用sqlmap去跑一个注入点,跑出数据后将日志留存,让参 赛者判断sqlmap注出了什么数据,此数据通常就为flag。 2、命令执行审计 出题人通常会利用一句话木马,进行一系列敏感操作,或者假装一开始不知 道一句话木马的密码,从而进行一系列的爆破行为,让参赛者判断一句话木 马的密码。 ......
KnightCTF2022-WP
qq_45989120的博客
01-24 517
Feistel 密码结构 Challenge: m, n = 21, 22 def f(word, key): out = "" for i in range(len(word)): out += chr(ord(word[i]) ^ key) return out flag = open("flag.txt", "r").read() L, R = flag[0:len(flag)//2], flag[len(flag)//2:] x = "".join(chr
CTF例题:
qq_63489512的博客
05-21 1407
第一次参加类似于ctf的比赛赛前准备,以及赛后对题目的总结
sql注入(dvwa)
zhang14916的博客
01-22 1185
1.information_schema库(简介) information_schema提供对数据库元数据的访问,有关MySQL服务器信息,例如数据库或表的名称,列的数据类型或访问权限。 information_schema是每个MySQL实例中的数据库,该实例存储有关MySQL服务器维护的所有其他数据库的信息。该 information_schema数据库包含几个只读表。它们实际上是视图,而...
ctf题目及flag打包下载
07-25
CTF题目及Flag打包下载”是一个提供CTF比赛题目和相应的Flag(答案)的下载服务。在CTF比赛中,参赛者通过解决各种具有挑战性的安全题目来提升其网络安全攻防能力。 这个服务的目的是为了方便CTF比赛的参赛者获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值