CTF BugKu平台—(MISC篇①)_西安地铁站 七站 ctf(1)

最新推荐文章于 2024-04-28 04:59:17 发布
最新推荐文章于 2024-04-28 04:59:17 发布
阅读量529 收藏 21
点赞数 10
分类专栏: 程序员 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281738/article/details/138264488
版权

key{you are right}

隐写:

  • 一个压缩包解压出来里面是一张图片但是显示图片损坏 肯定是改高和宽
  • 使用Winhex 把A4改成 F4 这样一样高就就可以看了

在这里插入图片描述

Telnet:

是一个telnet的数据包 直接过滤telnet 右键追踪数据流
在这里插入图片描述

flag{d316759c281bf925d600be698a4973d5}

眼见非实:

  • 解压出来里面是一个doxc文件;
  • 打开里面显示的是pk 那肯定是要需要解压改个zip后缀;
  • 继续解压 都是xml文件的 只能慢慢找了最后在 word 文件夹下面的document.xml 发现了flag。

在这里插入图片描述

啊哒:

在这里插入图片描述
是一张图片 看到图片的思路就是看属性然后使用文本编辑器搜flag关键字;
在这里插入图片描述
一看就是十六进制转一下字符:
https://www.sojson.com/hexadecimal.html

在这里插入图片描述
得到sdnisc_2018 既然是个线索说明肯定有文本文档改个txt 试试还真有直接解密得到flag;
在这里插入图片描述

flag{3XiF_iNf0rM@ti0n}

Ping:

是一个数据包类型的题目 打开来全是icmp的包 看不了追踪流;
仔细观察发现每个字段都不一样 再根据题目的提示 把所以的字符全部ping起来 哈哈哈
在这里插入图片描述

flag{dc76a1eee6e3822877ed627e0a04ab4a}

贝斯手:

下载下来是一张图片和一个zip加密文件 还有一个txt介绍文档
在这里插入图片描述
百度识图 这个贝斯手是古力娜扎 继续看txt介绍文档 拉到最下面(小细节)
在这里插入图片描述
给的提示是那一年出生上面有1992
然后打开了那个zip加密文件
在这里插入图片描述
提示很明显了 得到了这一串字符 应该是解密 猜测可能是md5 编码和base(贝斯)58编码 前面一串肯定是md5 后面得是base58
Base85 :https://ctf.bugku.com/tool/base58
在这里插入图片描述
MD5:https://www.cmd5.com/
在这里插入图片描述
最后拼起来就是flag。

flag{this_is_md5_and_base58}

宽带信息泄漏:

  • 下载下来是一个bin的文件猜测是关于路由器得
  • 使用routerpassview这个工具(记得把防护关掉不然会被杀掉得

在这里插入图片描述

flag{053700357621}

Snowfall:

snowfall
这题不会先放着,会的大佬可以私信教我一下嘛

猜:

在这里插入图片描述
直接百度识图 发现是刘亦菲 (送分题)

在这里插入图片描述

key{liuyifei}

可爱的故事:

研究了半天这图片不知道啥意思 百度了一下看是元神的提瓦特文(我直接裂开了,我又不玩元神…)
在这里插入图片描述
再根据txt文档里面的提示 在做一下得到flag

bugku{iamlearningteyvatinbugku}

又一张图片,还单纯吗?

在这里插入图片描述
是图片就是传统思路 看属性 然后文本文档打开找flag 发现都没有很正常 那就是隐写方向得了
在这里插入图片描述
先使用binwalk不行在使用foremost 分离出了flag
在这里插入图片描述
可以使用QQ的文字提取功能比较方便(小细节提示:提交的时候注意空格

falg{NSCTF_e6532a34928a3d1dadd0b049d5a3cc57}

blind_injection:

下载下来是一个数据包,题目给得提示是盲注得意思 注入应该是http协议 然后导出一下http(认真细心得把每一个字符记录下来)
在这里插入图片描述
flag{e62d3da86fe34a83bbfbdb9d3177a641}

赛博朋克:

下载下来是一个要加密得txt,这里有个小细节就是要用360压缩打开不然你不知道密码是打不开得 用了暴力破解zip工具也不行 (只能说360压缩yyds)搞心态。
在这里插入图片描述
首先打开这个txt文件 看到NG应该是个PNG图片改个后缀试试看,
在这里插入图片描述在这里插入图片描述

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281738
关注
  • 10
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全面试大全,2023最新(建议收藏)
2301_77152761的博客
05-22 1143
个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历 => 因此对于自己的项目,面试前建议做一次复盘,最好能用文字描述出细节,在面试时才不会磕磕绊绊、或者忘了一些自己很得意的细节面试题会一直更新(大概,直到我毕业或者躺平为止吧...)包括一些身边同学(若他们同意的话)和牛客上扒拉下来的(若有,会贴出链接)还有自己的一些经历。
centos云服务器安装cs(cobaltstrike4
2401_84253380的博客
04-26 290
wget https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz #下载jdk压缩包tar -zxvf jdk-8u201-linux-x64.tar.gz #解压解压完之后生成一个jdk1.8.0_201文件mv jdk1.8.0_201 /usr/local/jdk1.8/ #把jdk1.8.0_201文件移动到usr/local/jdk1.8/目录下配置环境变量。
CTF BugKu平台Misc:多种方法解决(1)
最新发布
2401_84281738的博客
04-28 380
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
一文学会Open5GS和UERANSIM安装及使用
COCO_gsta的博客
06-25 3637
VM配置(2台)操作系统:Ubuntu18.04.6 server(注意server版安装需要断网安装)②CPU: 4③Memory: 2G④网卡2块:一块使用NAT模式用于访问外网(同时用于WebUI访问),另一块用于VM间的通信(配置桥接网卡,使用主机上的环回适配器)注意:配置桥接口地址不要配置网关,否则可能无法访问外网确认该虚拟机的网络地址配置,如修改,需执行sudo netplan apply执行生效参考链接: https://open5gs.org/open5gs/docs/guide/01-q
渗透测试----书单
牧码人的博客
06-26 3175
《0day安全软件漏洞分析技术》 《Android 软件安全与逆向分析》 《Android安全攻防权威指南》 《http://ASP.NET从入门到精通》 《C Primer Plus》 《C++黑客编程揭秘与防范》 《C和指针》 《go语言编程》 《ajax权威指南》 《hadoop权威指南》 《HTTP权威指南》 《HTML5+CSS3从入门到精通》 《iOS应用安全攻防实战》 《iOS应用逆向工程:分析与实战》 《javascript框架高级编程》 《javascript权威指南》 《Java编程思想
网络安全方面 关于渗透 可以选择那些书?
leah126的博客
06-05 842
以上书籍都是比较优秀的渗透测试方面的书籍,可以根据自己的需求和兴趣进行选择。
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
CTF-MISC关于各类编码习题(湖工商扛把子)
03-17
在“CTF-MISC关于各类编码习题(湖工商扛把子)”这个主题中,你可以通过实践和解决1-1等文件中的题目,进一步提升自己在编码解码方面的技能。了解和熟练掌握这些编码方式对于CTF比赛中的Misc任务至关重要,能够帮助...
CTF-misc中的F5刷新可以使用到的工具
11-03
F5触发的HTTP请求的请求头中通常包含了If-Modified-Since 或 If-None-Match字段,或者两者兼有。CTRL+F5触发的HTTP请求的请求头中没有上面的那两个头 所以说你非常需要此工具!!!!!
open5gs-srslte
03-27
open5gs-srslte
微信小程序商城项目实战(第三:商品列表)
Jiangxun9390的博客
06-22 2152
Tabs。
亿赛通电子文档安全管理系统 RCE漏洞
holyxp的博客
08-21 2037
亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄露体系,使得成本、效率和安全三者达到平衡,实现电子文档的数据安全。
亿赛通电子文档安全管理系统 Update.jsp SQL注入
hackzkaq的博客
10-19 895
电子文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品之一,保护范围涵盖终端电脑(Windows、Mac、Linux系统平台)、智能终端(Android、IOS)及各类应用系统(OA、知识管理、文档管理、项目管理、PDM等)。该漏洞存在与/update接口下,flag对输入的数据没有进行严格的过滤而导致SQL注入,攻击者可以利用该漏洞获取数据库敏感信息。
微信小程序实现商品列表跳转详情页
weixin_48747169的博客
04-01 7375
实验要求 模仿京东小程序,实现下列功能 首页包含了手机图片,手机的描述,手机的价格,购物车图标 首页显示两行文字,多余的文字隐藏,以3个点代替 点击页面不同的地方,能够跳转到不同的手机详情页面 手机详情页包含手机图片,上架日期,价格,手机描述等图文信息 参考图1 参考图2 代码: //index.wxml <view id="bg"> <view class="container"> <view class="container_small"
CTF-MISC:BUUCTF练习汇总(26-40题)
燕麦葡萄干的博客
08-03 1743
.-. ----. …- ----. -.-. -…----- .---- —…----- ----. …— ----. .---- ----. .---- -.-.4)key_part_one中NUL文件包含了前半段flag,key_part_two中where_is_flag_part_two.txt:flag_part_two_is_here.txt文件包含了后半段flagbinwalk+foremost分离得到zip压缩包,解压后得到的文件里存在flag.txt,打开即可获取到flag
SQLI-LABS靶场进行sql注入第一关字符型注入 过关过程
weixin_74091677的博客
03-06 463
在我们把id值改为 1' 则它的源码sql语句便成为 select *from 表名 where id='1' ' 此时sql闭合而后面则多出来一个' 我们可以使用。之后我们给到一个and 1=2(%20是空格的意思)明显是一个错误逻辑但是依旧正常显示 可以判断这是一个字符型注入点(因为它把 1之后的数据给过滤了)可以看到此时 在给一个and 1=2时(%20是空格 %27是单引号') 没有回显了 逻辑通顺 我可以大致推断它的源码sql语句为。这里就可以看到数据库的username和对应的密码了。
SQL注入:sqli第一关
weixin_69863399的博客
01-31 466
但是要注意前面的id就不能是1,而是要改为id=-1,这样做的目的是为了让前面的查询语句不执行,这样后面查询的version()才能显示出来。5、现在我们知道了security数据库中的所有表名,我们需要查询password和username,常理下这些数据库都会存储到users中,所以嘞我们现在需要查询users这个表中的所有字段是啥子。2、猜字段,使用order by查询字段个数,逐渐增加order by后面的数字,从1开始一直到报错为止,当order by到第四个字段时就报错了,所以说明有三个字段。
青少年ctf训练平台misc
05-26
推荐一个青少年CTF训练平台misc,可以尝试一下picoCTF,它是由卡内基梅隆大学开发的一个免费的CTF平台,主要面向初学者和青少年。picoCTF包含多个类别的题目,其中misc类别包括密码学、逆向工程、网络安全、二进制等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值