前言
Catf1agCTF 是一个面向所有CTF(Capture The Flag)爱好者的综合训练平台,尤其适合新手学习和提升技能 。该平台由catf1ag团队打造,拥有超过200个原创题目,题目设计注重知识点的掌握,旨在帮助新手掌握CTF相关的各种技能 。除了新手题目,平台也包含难度不一的题目,适合不同水平的CTF参与者 。
平台上的题目类型多样,包括WEB、MISC、CRYPTO、LINUX、PWN/ATTACK、REVERSE等,题目分数制度从60分到100分不等,难度从1星到5星 。题目提交时需要包含完整的题目环境、flag以及writeup,以确保题目的完整性和可解性 。
此外,Catf1agCTF平台还提供了一些辅助工具和资源,如在线工具箱、SRC资料和HW资料等,以帮助用户更好地进行学习和实战演练 。平台的网址为 https://catf1ag.cn/,有意向的用户可以通过官方邮箱catf1ag@163.com进行联系 。对于想要加入交流的用户,平台还提供了官方QQ群和频道,方便用户之间的互动和交流 。
需要注意的是,平台上的部分题目可能需要特定的环境配置,例如WEB题目会包含dockerfile,而PWN/ATTACK题目则必须包含dockerfile以确保题目环境的完整性 。对于题目的flag格式,平台有统一的要求,即flag需要以"catf1ag{}"的格式呈现 。
总的来说,Catf1agCTF是一个资源丰富、适合各个水平CTF爱好者的训练平台,无论是新手还是有经验的参与者,都能在这里找到适合自己的学习和提升机会。
一、rce_me_1
打开靶场
给出了提示
执行 ls
查看 flag
二、json
打开靶场
给出了源码让分析
<?php
show_source('index.php');
include('flag.php');
$key = $_GET['key'];
# 函数将传入的 JSON 字符串 $key 解析为一个 PHP 对象,并将其赋值给 $decode 变量
$decode = json_decode($key);
if($decode->flag == $flag){
echo $flag;
}else{
echo "<h3>404 not found</h4>";
}
?>构造key={"flag":0}
得到 flag:catf1ag{95rzgmd8ji6uqaeycfs2wno4lt1kp7v3hbx0}
三、GET & POST
打开靶场
提示传 flag 值
再用 POST 传 flag
拿到 flag
catf1ag{0zjbnretf2svxu9oykqa5dp74wc63g}四、robots
打开靶场
打开提示 noflag
访问 robots 文件
访问下载文件得到 flag
294
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
