- 博客(8)
- 收藏
- 关注
RSS订阅原创 3.30(学习中)
首先看到这张图 仔细观察 发现有个较详细的 地址(恩秀减重专门店港澳广场店)通过搜索发现 交通事故现场在安徽省合肥市蜀山区翡翠路 港澳广场购物中心 再通过在网上搜图 虽然没有描述这起事故 但是发现这张图片最早在23年7月份被网友传到网上问车型 而后我们发现立马电动车那家店铺期间一直在变更 在百度地图上搜的时候 发现最早是中墅地产 大约在一年前 立马电动车大约在半年前 而最近的一张是在23年12.22号发现是蒸之坊 而贴着的对联也显示在过年左右 所以推断时间在23年1到7月份。
2024-03-30 16:26:18
191
原创 buuctf解题加学习
在「响应」信息中发现另一个敏感文件 secr3t.php使用PHP伪协议对文件内容进行base64编码,使文件内容在页面中展示出来,payload:/secr3t.php?打开BP抓包 提示接收一个ip参数 尝试执行多条命令 可以看到在当前目录下,有index.php和flag.php两个文件 读flag.php的时候,出现了空格过滤信息经过测试,发现$IFS$数字,这种方式可以成功绕过空格。3.[极客大挑战 2019]Secret File。1.[ACTF2020 新生赛]Exec。
2024-03-30 10:56:44
293
原创 BUGKU web解题加学习
打开环境 然后查看源代码 发现只能上传.jpg.pen的文件 所以新建一个文件内容为import os (换行) os.system('ls /') ,修改文件类型为png,上传,在网页源代码注释中查看目录,发现flag 重新编辑文档 import os (换行) os.system('cat ../flag'),修改上传,显示flag。flag={{config.SECRET_KEY}}flag={{config}}打开以后发现一堆字母 直接查找flag文件 然后cat得到flag。
2024-03-27 21:26:49
249
1
原创 buuctf解题加学习
点进题目时就能看到有PHP 代码审计的提示,点开后发现是一个笑脸 查看源代码 发现被注释的source.php 查看 而后发现了一行带有hint.phpi访问 给出提示flag在ffffllllaaaagggg里面 于是就查看source.php?/../../../../ffffllllaaaagggg得到flag。file=php://filter/read=convert.base64-encode/resource=flag.php 得到一串字符加一个=base64解码。
2024-03-25 21:24:31
208
1
原创 开学原题复现
将打开的文件复制进MP3Stego所在的目录,然后在该目录的路径框里输入cmd,输入命令 打开后得到一个文件 将得到的文件加一个=后base64解码两次,16进制得到另外一个压缩包密码打开压文件,将B替换成. A替换成-,再摩斯密码解码再将%u7b换成{}就得到flag了。先用winhex打开 翻到最后看到一串base64 然后解码得到一半flag· 将文件后缀名改为zip打开文件 得到一张图片 然后修改这张图片的宽和高得到另一半flag。用D盾扫描 打开文件在 两个文件中找密码就可以得到flag。
2024-03-23 22:54:56
362
原创 学习的笔记
robots.txt是一个协议,我们可以把它理解为一个网站的"管家",它会告诉搜索引擎哪些页面可以访问,哪些页面不能访问。也可以规定哪些搜索引擎可以访问我们的网站而哪些搜索引擎不能爬取我们网站的信息等等,是网站管理者指定的"君子协议"。当一个搜索机器人(有的叫搜索蜘蛛)访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;查看robots.txt:在浏览器的网址搜索栏中,输入网站的根域名,然后再输入/robot.txt即可查看。
2024-03-22 21:03:39
279
原创 开学考原题复现
1.师姐的生日打开环境后,先随便输入一个日期然后进行爆破 爆破成功后响应就可以得到flag了2.不要尝试爆破哟打开文件夹第一个是一张图片 第二个需要密码 在结合第一个的名称是key 所以密码就是第一个文件 将图片放到stegsolve中分析 找到密码 而后输入密码打开第二个文件 第二个文件base64转图出现一个残缺的二维码 在PPT中将残缺的定位角补齐 再扫描二维码就可以得到flag了3.Fuck先base16解码再base64解码最后Brainfuck解码就可以得到flag了PHP。
2024-03-20 17:51:09
214
1
原创 bp爆破的使用方法(学习中)
接着,打开拦截功能,在浏览器中随便输入一个用户名、密码,执行登录操作,这样在 BP 工具拦截模块中可以拦截到这个请求。首先,在浏览器中选择bp代理,我们需要在开发者工具栏进行抓包分析,在 BP 工具中 Proxy 选项中配置拦截规则。分别是:Target,Positions,Payloads,Resource Pool,Options。然后,在 Intruder 模块中配置 5 个功能标签选择与我们需要爆破的一致 选择攻击类型。Sniper :在单一目标,已知用户名,密码未知时选择。
2024-03-19 22:38:52
594
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人