2024年CTF 4 Tender Dropbox(1),这操作真香

于 2024-05-10 18:58:31 发布
阅读量347 收藏 7
点赞数 4
分类专栏: 程序员 文章标签: 网络安全 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84265909/article/details/138677758
版权

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

在这里插入图片描述
下载并查看文件
certificate:在这里插入图片描述
sample_tender: { “Contractor” : “#001”, “Bid”: 10000 }

`

一、分析

查看密钥文件确定加密为RSA加密,使用两种填充方式OAEP和PKCS1v15,所以要对JSON文件进行加密之后并转换为base64格式进行竞标,使用openssl进行加密

二、过程

import json
import base64
import subprocess

rsa_file = 'rsa.cert'
public_key = 'public\_key.pem'
def encrypt\_tender(data, public_key_path, padding_mode):
    encrypt_command = f"echo -n '{data}' | openssl pkeyutl -encrypt -pubin -inkey {public\_key\_path} -pkeyopt rsa\_padding\_mode:{padding\_mode}"
    try:
        encrypted_data = subprocess.check\_output(encrypt_command, shell=True, stderr=subprocess.STDOUT)
        return base64.b64encode(encrypted_data).decode()
    except subprocess.CalledProcessError as e:
        return e.output.decode()

extract_command = f"openssl x509 -pubkey -noout -in {rsa\_file} > {public\_key}"
subprocess.run(extract_command, shell=True, check=True)

sample_tender_data = {
    "Contractor": "#001",
    "Bid": 10000
}
data = json.dumps(sample_tender_data)

encrypted_oaep = encrypt\_tender(data, public_key, 'oaep')
print("Encrypted data with OAEP padding:", encrypted_oaep)

encrypted_pkcs1v15 = encrypt\_tender(data, public_key, 'pkcs1')
print("Encrypted data with PKCS1v15 padding:", encrypted_pkcs1v15)



**先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7**

**深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/cff56489d32814023f8b9f55048a380e.png)
![img](https://img-blog.csdnimg.cn/img_convert/382c1d9e1683ce25526e0a24cb4e7025.png)
![img](https://img-blog.csdnimg.cn/img_convert/a74366d824ef250f63466debf8559f2b.png)
![img](https://img-blog.csdnimg.cn/img_convert/b5a6f4375ac97b023368e46b94102bfd.png)
![img](https://img-blog.csdnimg.cn/img_convert/1619376fe79f8d32fe2e5ae32c35283d.png)
![img](https://img-blog.csdnimg.cn/img_convert/9336569e5f1c044f8e2a00e397e7c9a2.png)

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!**

**由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**
2401_84265909
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
swaks使用教程
流浪法师的博客
12-30 1万+
swaks使用教程
邮件发送工具swaks基础使用与邮件SPF配置漏洞简析
Alexz__的博客
04-16 6629
1.swaks工具使用 2.什么是邮件的SPF配置 3.SPF漏洞简析 4.SPF漏洞修复方案 壹 swaks工具的使用 (怎么这么多瑞士军刀.....) 一般来说kali自带: 基础用法: swaks –to <要测试的邮箱> 用来测试邮箱的连通性 我们先申请一个临时邮箱:http://24mail.chacuo.net/enus ...
Swaks钓鱼邮件
live小杨的博客
12-05 1132
今天 用kali来搞一个钓鱼邮件Swaks是一款命令行工具,用于测试SMTP服务器发送邮件,Swaks意味着“Swiss Army Knife SMTP”,它的设计理念是小巧灵活易于使用,是实际运营中一款常用的全能邮件发送工具之一。Swaks的优点: - 易于使用,支持TLS/SSL、SMTP验证和代理。- 可用于SMTP会话和挂起,方便调试。- 可以指定多个收件人,支持批量发送。- 输出详细的重要交互细节,有助于调试Swaks是一个号称“SMTP界的瑞士军刀”的SMTP工具。
JavaScript学习笔记(二十)DOM动画效果
最新发布
2401_84254011的博客
04-28 489
/0 ~ 100}else{//100// 3. 速度取整;}else{}else{// 4. 终止条件;} , 50)
ctfshow-WEB-web2
热门推荐
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块第2关是一个SQL注入漏洞,请求方式是POST请求,注入点是单引号字符型注入,flag就藏在当前的数据库的flag表中,使用联合注入获取数据即可 在用户名的输入框中输入万能账号a' or true #,密码随便输 登录成功,万能账号生效了,并且把查询到的用户名显示到了页面中,既然有显示位,那我们就用联合注入进行脱库 首先,测试一下回显的位置,在用户名的输入框中输入一下payload,密码还是随便输 a' union select 1,2...
ctfshow web-2(sql注入)
m0_73303597的博客
11-21 1852
自用
rabbitmq-管理控制台简介(一)
qq_35981356的博客
10-20 1626
转载自:https://www.jianshu.com/p/7b6e575fd451 1. 简介 rabbitmq-management是RabbitMq web管理端,用的是erlang的cowboy框架进行开发。web页面包括Overview(概述)、Connections(连接)、Channels(通道)、Exchanges(交换器)、Queues(队列)、Admin(用户管理)。 2. Overiview-概述 2.1 overview->totals ![在这里插入图片描述](https:
RabbitMQ 管理页面该如何使用
weixin_42050545的博客
11-23 2620
1. 概览 2. Overview 3. Connections 4. Channels 5. Exchange 6. Queue 7. Admin RabbitMQ 的 web 管理页面相信很多小伙伴都用过,随便点一下估计也都知道啥意思,不过本着精益求精的思想,松哥还是想和大家捋一捋这个管理页面的各个细节。 1. 概览 首先,这个 Web 管理页面大概就像下图这样: 首先一共有六个选项卡: Overview:这里可以概览 Rabb
网络钓鱼详解
weixin_68547367的博客
01-08 1328
他通常被用来伪造邮件,进行钓鱼、社工等操作,但是这种也是具有一定风险的,同时在这里提醒广大用户在收到邮件时,不要直接打开邮件,先看看邮件的域名以及头标题等信息是否正确,不然一个贸然的操作有时候将可能导致自己被钓鱼甚至攻击。钓鱼邮件,是一种伪造邮件,指利用伪装的电邮,一般目的是来欺骗收件人将账号、口令或密码等信息回复给指定的接收者,或附有超链接引导收件人连接到特制的钓鱼网站或带毒网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入手机号码、账户名称及密码等而可能被盗取。
rabbiemq学习
星月IWJ
02-24 2706
rabbitmq 使用场景 数据投递,非阻塞操作或推送通知。或许你想要实现发布/订阅,异步处理,或者工作队列 特性 持久性机制、投递确认、发布者证实和高可用性机制 路由 消息在到达队列前是通过交换机进行路由的 协议 支持多种消息协议的消息传递 发布者指定属性发送到交换机 交换机发送到队列 消费者从队列消费或者拉取 开启ack 死信队列 交换机状态:持久,暂存 默认交换机(没有名字的直连交换机) 每个新建队列(queue)都会自动绑定到默认交换机上,绑定的路由键(routing key)名称与.
ctfshow-WEB-web9( MD5加密漏洞绕过)
wangyuxiang946的博客
09-05 1万+
ctf.show WEB模块第9关是一个SQL注入漏洞, SQL中使用MD5进行加密, 推荐使用MD5加密漏洞绕过 进去以后就是一个登录界面, 盲猜是个SQL注入漏洞 首先, 我们访问根目录下的 robots.txt 文件 robots.txt是一个文本文件,同时也是一个协议,规定了爬虫访问的规则( 哪些文件可以爬取,哪些文件不可以爬取) 从robots.txt文件的内容中可以发现, 作者给了提示, index.phps文件应该就是此关卡的源码文件 接下来...
ctfshow web2
m0_63253040的博客
03-12 1712
打开环境是一个登入页面, 题目提示:最简单的SQL注入,那么先试一试万能密码登入 ' or 1=1# 密码随便输 存在回显,直接sql注入 ' or 1=1 order by 3# 正常回显,爆到4时不回显 ' or 1=1 order by 4# 开始爆库名 ,先看看是哪个位置会回显 ' or 1=1 union select 1,2,3# 发现是可以不用输密码的 ' or 1=1 union select 1,database(),3# 得到库...
ctfshow-web9(奇妙的ffifdyop绕过)
Welcome To Myon'Blog !
10-09 643
这里执行了 SQL 查询并将结果存储在 $result 变量中,然后通过 mysqli_num_rows($result) 检查返回的结果集中是否有行数大于0的数据,如果有,表示登录成功,就会输出flag。这段代码构建了一个 SQL 查询,但是它没有对用户输入进行适当的过滤或净化,很可能存在SQL注入,并且密码在数据库中储存为 MD5 散列值。首先验证用户提交的密码是否超过10个字符,如果超过,就终止脚本并显示密码错误消息。or后面的第一个字母只要不是0,都会被认为是true,从而实现sql注入的绕过。
消息队列:Rabbit MQ详解一篇搞定
qq_40853919的博客
07-02 5993
存储消息的队列。消息:比如字符串,对象,二进制数据,json等等。队列:先进先出的数据结构。耗时的场景(比如支付结果查询)异步化的场景(比如远程控制)应用解耦的场景消息队列的好处异步处理削峰填谷应用解耦要给系统引入额外的中间件,维护成本,资源成本,学习成本。消息队列:就需要考虑,消息丢失,消费消息,数据的一致性。中间件消息队列也是中间件的一种,我们可以注意到,它是作为生产和消费的中间人,进行传递消息,实现解耦。
RabbitMQ学习笔记:Connections、Channels、Queues之state状态
OceanSky的专栏
10-26 8823
连接(Connections)、信道(Channels)、队列(queues)状态如下: Name running(运行中) flow(流控) idle(空闲) Connections true true true Channels true true true Queue true true true ...
ctfshow web入门——web2
m0_74093152的博客
01-28 263
ctfshowweb入门——web2
ctfshow-web9
aarong的博客
12-25 1653
如题又是登录框,这次尝试了前面几题方法都没方法做出来,只好换一种思路,先对这网站的后台进行扫描(这里使用了很多种扫描工具比如dirb、dirbbuster都太拉了,扫了个寂寞,最后还是使用了下面这个工具扫出来的) dirsearch扫描网站目录: dirsearch -u http://079eb967-1867-4064-85b7-ee3490881e14.challenge.ctf.show/ 扫描时间比较久,可以打一两把游戏再来看结果。扫描发现网站目录中存在robots.txt 打开robots.
豆瓣图书API
coderYJ的博客
01-23 1万+
技术交流QQ群 277030213 豆瓣 api php 项目 https://github.com/wenyanjun/douban 豆瓣 api 地址 服务器地址 http://39.105.38.10:8081/ 1.top250 访问路径 book/top250?page=0 返回数据 { "coderYJ": "简书关注coderYJ 欢迎加QQ群讨论277030213", "code": 200, "msg": "请求成功", "data": { .
六一战队夺魁青少CTF擂台赛2024_round1:Web与Pwn解题揭秘
青少CTF擂台挑战赛2024第一轮(#round 1)是一项针对青少的信息安全竞赛,参赛队伍sixone战队在本次比赛中取得了显著的成绩。比赛涵盖多种技术领域,包括Web应用安全(Web1到Web5)、逆向工程(Reverse1)、密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值