前言
BugKu是一个由乌云知识库(wooyun.org)推出的在线漏洞靶场。乌云知识库是一个致力于收集、整理和分享互联网安全漏洞信息的社区平台。
BugKu旨在提供一个实践和学习网络安全的平台,供安全爱好者和渗透测试人员进行挑战和练习。它包含了各种不同类型的漏洞场景,如Web漏洞、系统漏洞、密码学等,参与者需要通过解决这些漏洞来获取Flag。
BugKu的特点如下:
1. 漏洞丰富:BugKu提供了大量的漏洞场景供用户挑战,涵盖了常见的Web漏洞,如XSS、SQL注入、文件上传等,以及其他类型的漏洞,如逆向工程、密码学等。
2. 适合不同水平:BugKu的题目分为不同的难度级别,适合不同水平的参与者。从初学者到专业渗透测试人员,都能在BugKu中找到适合自己的挑战。
3. 学习资源:BugKu提供了丰富的学习资源,包括解题思路、漏洞分析、修复建议等。参与者可以通过学习他人的解题思路和经验,提高自己的技术水平。
4. 排行榜竞赛:BugKu设置了排行榜,参与者可以通过解决题目获取积分,竞争排名。这种竞争激励机制可以激发参与者的学习兴趣和动力。
通过参与BugKu,参与者可以在实践中学习到真实的漏洞和攻击技术,提高自己的技术水平。同时,BugKu也是一个交流和分享的平台,参与者可以与其他安全爱好者进行讨论和学习,共同成长。
一、又一张图片,还单纯吗
打开靶场
图片内容如下
使用随波逐流解析发现多个文件
放入 Kail 中使用 Binwalk 分析
再使用 Foremost 提取出来拿到 flag
二、猜
打开靶场
图片内容如下
使用工具随波逐流发现没有修改 CRC
谷歌识图居然是刘亦菲
三、宽度信息泄露
打开靶场
解压缩文件内容如下
使用工具 RouterPassView 打开搜索关键字即可拿到 flag
四、隐写 2
打开靶场
图片内容如下
使用随波逐流解析发现存在文件隐写
使用 Foremost 提取文件
提示文件内容
使用工具 Archpr 爆破
提取出来还是一张图片
继续使用随波逐流解析拿到 flag
= 结尾是 Base64 编码,解码再提交