【网络安全 Misc】miss_01 太湖杯

最新推荐文章于 2024-08-03 16:11:06 发布
最新推荐文章于 2024-08-03 16:11:06 发布
阅读量657 收藏 22
点赞数 12
分类专栏: 程序员 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968016/article/details/138795850
版权

在这里插入图片描述

如果 frFlags 或 deFlags 不为0会导致zip的伪加密

将deFlags的值修改为0

在这里插入图片描述

将9改为0,另存为123.zip:

在这里插入图片描述
即可绕过加密:

在这里插入图片描述

得到一个zip一个docx,但zip需要密码:

在这里插入图片描述

因此看docx有无敏感信息:

开头 U2F 是rabbit加密特征,因此需要寻找密钥

在这里插入图片描述

http://www.atoolbox.net/Tool.php?Id=914

在这里插入图片描述

得到密钥love and peaceee

进行rabbit解密:

在这里插入图片描述

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

明显为base32编码,解密:

https://www.bejson.com/encrypt/base32/

在这里插入图片描述

得到:

\u65b0\u4f5b\u66f0\uff1a\u8af8\u96b8\u54c9\u50e7\u964d\u543d\u8af8\u9640\u6469\u96b8\u50e7\u7f3d\u85a9\u54a4\u8028\u8af8\u96b8\u6167\u585e\u8272\u5c0a\u54c9\u8fe6\u8ae6\u7a7a\u6240\u964d\u6211\u5ff5\u96b8\u7957\u8ae6\u5ff5\u54c9\u9640\u56b4\u54c9\u56c9\u4fee\u5937\u963f\u6ce2\u8272\u838a\u5bc2\u8ae6\u585e\u5492\u838a\u773e\u6211\u54c9\u6240\u4f0f\u805e\u85a9\u96b8\u610d\u95cd\u5436\u6240\u4fee\u662f\u8272\u6469\u8a36\u56b4\u54c9\u9858\u610d\u54c9\u5373\u4fee\u54c9\u7a7a\u871c\u9640\u56c9\u4f0f\u5ff5\u54c9\u6469\u54c9\u4ea6\u838a\u54c9\u773e\u54a4\u5982\u9858\u5982

进行unicode转换:

在这里插入图片描述

得到:

新佛曰:諸隸哉僧降吽諸陀摩隸僧缽薩咤耨諸隸慧塞色尊哉迦諦空所降我念隸祗諦念哉陀嚴哉囉修夷阿波色莊寂諦塞咒莊眾我哉所伏聞薩隸愍闍吶所修是色摩訶嚴哉願愍哉即修哉空蜜陀囉伏念哉摩哉亦莊哉眾咤如願如

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84968016
关注
专栏目录
网络安全 | Miscmiss_01 太湖
等风来
12-31 2095
如果 frFlags 或 deFlags 不为0会导致zip的伪加密。开头 U2F 是rabbit加密特征,因此需要寻找密钥。得到密钥love and peaceee。将deFlags的值修改为0。将其作为密码解zip密码即可。切换到频谱图即可得到flag。
网络安全 | Miscmisc_pic_again
等风来
12-31 1705
初步通过winhex及binwalk并不能得到有效信息,判断为非LSB隐写。使用kali中的zsteg可以看到关键字zip,判断有隐写压缩包。解压后打开即可得到flag。
niushop存有支付逻辑漏洞版本源码.zip
12-24
niushop存有支付逻辑漏洞版本源码,亲测可用真实有效,如有侵权请联系CSDN管理员删除即可
03-构建xss漏洞环境(1)
2401_84968222的博客
05-11 445
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
niushop支付漏洞
qq_68186313的博客
08-02 312
2、开始选购商品为【巧克力】选择其购买的数量为1;使用burpsuite等抓包工具,抓取数据包后,修改数据包中的参数从而达到支付篡改的目的;3、将包中的“goods_id=1&num=1”改为“goods_id=1&num=-1”常见漏洞利用手段:替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠卷支付。改的参数:商品ID,购买价格,购买数量,手机号码,订单D,支付状态。1、访问购物站点并注册用户abcde:123456。
AAA-------网安的一种管理机制--认证授权计费
2401_84970893的博客
05-12 485
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
niushop靶场漏洞查找-文件上传漏洞等(超详细)
qq_59020256的博客
01-23 1193
发现报错,而且这个报错十分熟悉,与我们所学的sqli报错注入特别像。这里查询到后面的url有且仅有一个,目测估计是后台。上传的图片是包含一句话木马的图片。发现获取到了webshell。实战漏洞-niushop。
攻防世界miss-01,杂项misc太湖
11-01
标题 "攻防世界miss-01,杂项misc太湖" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
网络安全 | Misc】a_good_idea
等风来
12-31 1459
winhex看到有zip压缩包得到两张图,txt中写道:寻找像素的秘密。使用stegsolve将合并两张图并进行像素相减:
2022年网络安全中山市香山misc题目附件
11-01
2022年网络安全中山市香山misc题目附件
Niushop 靶场渗透
weixin_45971758的博客
05-31 1270
靶场源文件:链接:https://pan.baidu.com/s/1oWqAOi3LW3-nv0pgUsChiQ (永久有效)提取码:iul4。
[攻防世界]太湖miss_01
Luistin的博客
01-12 566
10.然后戴上我的耳机听一听,这***************什么玩意,直接用AU打开,打开之后下面这个需要拖出来,然后鼠标滚轮子往下面滑就可以看见flag了flag{m1sc_1s_funny2333}7.左边解出来的看着像base32,我们放工具里面看看,通过base32转unicode,然后出来了与佛论禅密码。4.因为题目提示有miss,考虑有隐藏起来的文字,点击这个可以显示出来,我们点了之后,发现真的有隐藏的。),love and peaceee为密钥,右边是word里面的密文。
tcpreplay是如何回放数据包的
lengye7的博客
05-04 6862
tcpreplay我们通常用于回放数据包,那么tcpreplay究竟是会怎样回放呢?是根据什么内容来发包的。 首先tcpreplay有各种的参数供我们选择和设置,具体的参看我的另一篇帖子即可。 这里我主要交代,tcpreplay是如何根据数据包的内容来确定发往哪里? 那么所谓回访数据包的意思就是,将这个数据包的流向再次重现,也就是说再把这个数据包的流向走一遍。 所以tcpreplay是检测
Niushop开源商店渗透----漏洞复现
2201_76017178的博客
05-24 2909
Niushop开源商店渗透----漏洞复现 一、暴力破解后台密码1.选择一个商品,选择数量,进行抓包,修改抓到包的num数量为负数。2.将抓到的宝发送到测试器。二、文件上传漏洞1.在后台管理界面的设置,基础设置的第三方代码存在xss漏洞。3.复制响应中的连接,打开中国蚁剑,添加数据并连接。2.放包,显示下面界面,提交订单,实现0元购。两个网页存在差异,说明存在SQL注入的漏洞。2.打开抓包工具抓包,修改.php后缀。四、支付逻辑漏洞,实现0元购。
niushop和damicms支付逻辑漏洞分析
永远是少年
12-17 1084
今天继续给大家介绍渗透测试相关知识,本文主要内容是niushop和damicms支付逻辑漏洞分析。 一、niushop更改支付数量问题 二、damicms更改支付金额问题
支付漏洞-niushop靶场
weixin_57682301的博客
08-02 266
1.搭建好环境进入配置密码 2.先注册一个用户 3.选择一个喜欢的商品 4.进入后开启抓包点击购买并进行抓包 5.将购买数量改成-4 6.放行后提交订单发现实现了零元购
niushop逻辑漏洞
最新发布
weixin_53736204的博客
08-03 149
抓包在数据包中可以改数据。
Niushop开源商店渗透测试
mcmuyanga的博客
12-04 2868
靶机 提取码:le8l 首先连上靶机 先扫一下靶场ip,看看开启了哪些端口 开启了80端口,扫描一下目录 一个shop的界面, 一个admin后台管理界面 其他的目录翻看了一下, 看样子是网站的配置文件,但是打开后是空的 应该是上传文件的目录,之后可能会用到 看完扫描结果,去shop界面创建一个用户登录看看 首先是看一下输入框,是否存在sql注入 看这个样子应该是不存在sql注入了 在个人信息这边,看到有填写信息的输入框,输入,确认修改后来看看有没有xss漏洞,改完后并没有弹窗,不存在x
大学生网络安全挑战赛“东华”2021年CTF真题解析
资源摘要信息:"东华”2021年大学生网络安全邀请赛是针对在校大学生的网络安全竞赛活动,以CTF(Capture The Flag,夺旗赛)形式进行。CTF是一种信息安全竞赛,参赛者需要解决一系列网络安全、系统安全、密码学、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值