CTFshow刷题

最新推荐文章于 2024-07-19 17:26:37 发布
最新推荐文章于 2024-07-19 17:26:37 发布
阅读量292 收藏 2
点赞数 3
分类专栏: CTFshow 文章标签: 网络安全 ctf web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CLAY0011/article/details/139471323
版权

签到

报错

打开还要密码,就很容易想到是伪加密

出flag了

stega1

jphs隐写

点seek

密码为空

出flag了

misc6

解压出来是个编码YZYPYUYAXOYWXXYZXWYBYSXAZSYRYCYWYYUUXQ=第一眼以为是base32,但不是

这个是文本解密

flag{ctfshow_nice!}

 web9

/robots.txt

找到目录
/index.phps

会出现php的源代码
对于函数 md5(string,raw)
MD5 加密后的 16 进制转化为二进制时有 'or'xxxx,即可构成闭合语句:username ='admin' and password =' 'or 'xxxxx' 成功登陆
两个符合的字符串:ffifdyop 129581926211651571912466741651878684928
题目有长度限制
所以密码是ffifdyop

输入就登录就得到了flag

WTT0011
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFSHOW 刷题记录
errorr0
03-20 1267
手注sql?狗看了都摇头,当然要用脚本跑撒!!
CTFshow刷题日记-WEB-爆破
Love&Share
09-03 3295
web21 提示:爆破什么的,都是基操 有一个zip文件,解压是一个爆破字典 Authorization: Basic dG9tY2F0OmFkbWlu ------->输入的用户名/口令以base64的形式传输。认证失败显示401 认证成功为200 将Authorization字段后面的值进行base64 解码,即可获取用户认证信息明文 使用bp的Intruder模块 payload type 选择custom iterator(自定义迭代器) 自定义迭代器可以自定义拼接方式,positio
CTFshow刷题日记-WEB-文件上传
Love&Share
09-08 1466
web151-前端绕过 简单只要在前端把exts:png改成php exts:'php' 访问 /upload/shell.php?shell=system("tac ../flag.php"); web152-content-type绕过 这次不改前端了,直接在bp改,将Content-Type改成 image/png 总结下常见conten-type类型 常见的媒体格式类型如下: text/html : HTML格式 text/plain :纯文本格式 text/xml : XML格式 im
CTFshow刷题日记-WEB-信息收集
Love&Share
09-02 3217
信息收集 web1 题目提示开发注释未及时删除,所以直接f12 web2 提示:js前台拦截 ctrl+u查看源代码 web3 提示:没思路的时候抓个包看看,可能会有意外收获 浏览器f12 network 但是在burp中需要发送两次 第一次是重定向 web4 提示:总有人把后台地址写入robots,帮黑阔大佬们引路。 这都提示到这个份上了,直接访问rebots.txt即可 访问/flagishere.txt拿到flag web5 提示:phps源码泄露有时候能帮上忙 访问index.phps文
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8339
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
FairGuard游戏加固入选《嘶吼2024网络安全产业图谱》
FairGuard手游加固(企业官方博客)
07-19 218
FairGuard游戏加固作为游戏安全行业领先的第三方服务商,凭借技术创新、产品服务及市场反馈等多方面优异表现获得业界认可,实力入选移动应用安全细分领域。
用AI对抗AI:Fortinet解锁家电制造网络安全新密码
Fortinet_CHINA的博客
07-19 717
Fortinet盛大启幕《构筑垂直行业 网络安全防线》系列研讨会。Fortinet中国南区资深安全顾问黄志攀深入洞察家电制造行业的网络安全挑战,全面解析了Fortinet如何通过全栈AI技术重塑OT安全解决方案,以应对复杂多变的威胁环境。家电制造行业网络安全深度分析家电制造产线的安全现状普遍令人担忧,主要体现在网络架构的两极分化、显著的安全与管理风险、安全区域划分的缺失,以及OT网络面临的直接威胁。
静态IP地址在网络安全中的角色解析与实测分析
2401_85937702的博客
07-19 700
在这个网络边界日益模糊的时代,每一次点击、每一次数据传输都有着安全问题。作为网络安全体系中的基石,静态IP地址的角色显得尤为重要而复杂。今天,我们的测评团队将带您深入剖析静态IP地址在网络安全中的多重角色,并通过两家代理服务商的实测分析,为您揭开其在实际应用中的神秘面纱。
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 538
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
网络安全-网络安全及其防护措施12
LS_Ai的博客
07-19 553
软件定义网络(SDN)是一种网络架构,它通过将网络的控制平面(Control Plane)从数据转发平面(Data Plane)中分离出来,并集中在一个控制器中进行管理和配置。SDN通过集中化的控制和灵活的编程接口,提供对网络的动态管理和自动化能力。软件定义广域网(SD-WAN)是一种基于软件定义网络(SDN)技术的广域网解决方案,通过集中控制和智能路由功能,优化多地点分支机构之间的网络连接。SD-WAN通过虚拟化网络功能,简化了广域网的部署和管理,提高了网络性能和应用体验。
Web安全:未验证的重定向和转发.
最新发布
网络安全领域___专研者.
07-19 526
未验证的重定向和转发漏洞是一种常见的Web安全漏洞,它允许攻击者将用户重定向到一个恶意的URL,而不是预期的安全URL。这种漏洞通常发生在应用程序处理重定向和转发请求时,未能对目标URL进行适当的验证和过滤。
网络安全-网络安全及其防护措施6
LS_Ai的博客
07-16 918
访问控制列表(ACL)是一种网络安全机制,用于控制网络设备上的数据包流量。通过ACL,可以定义允许或拒绝的流量,增强网络的安全性和管理效率。ACL通过在路由器或交换机上设置规则,确定哪些流量可以通过,哪些流量应该被阻止。入侵检测系统(IDS)定义:监控网络流量和系统活动,检测和记录潜在的安全威胁和攻击行为。IDS提供告警信息,但不主动阻止攻击。作用:检测并报警,但不干预攻击,主要用于识别潜在的安全问题和攻击模式。入侵防御系统(IPS)定义:在IDS的基础上,进一步采取措施阻止攻击行为,保护网络安全
ctfshow web353
08-24
在引用中提到的代码中,虽然存在过滤,但却没有起到实际作用。无论是使用url=http://localhost/flag.php还是url=http://127.0.0.1/flag.php,都可以获取到flag。这个漏洞可以简单绕过。 在引用中提到,要以http://ctf开头,以show结尾的url字符串可以用于攻击内网的其他服务。例如:url=http://ctf.@127.0.0.1/flag.php#show或url=http://ctf.@127.0.0.1/flag.php?show。这可以用于打mysql。 在引用中的代码中,通过正则匹配判断url是否以http://ctf开头,以show结尾。如果匹配成功,则会获取url对应的内容并输出。这个代码可能与ctfshow web353有关。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFshow刷题日记-WEB-SSRF(web351-360)SSRF总结](https://blog.csdn.net/q20010619/article/details/120536552)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值