NWU-CTF web

最新推荐文章于 2024-05-06 20:39:12 发布
最新推荐文章于 2024-05-06 20:39:12 发布
阅读量376 收藏
点赞数
分类专栏: CTF WP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITmincherry/article/details/100864182
版权
这篇博客详细介绍了参加NWU-CTF比赛时遇到的Web挑战,包括机器人、XSS、PHP弱类型、SQL注入、HTTP头部利用、速度挑战和PHP反序列化等环节。作者分享了解题思路和解决方案,提供了关键的输入payload。
摘要由CSDN通过智能技术生成

0x00 机器人

知道robots.txt文件的话,就很容易做出来了,robots.txt文件可以见我之前的博客

0x01 让我们来弹一个flag

题目给了学习资料,然后根据它的提示,输入<script>alert('flag')</script>,即可得到nwuctf{XSS_Is_A_Important_Vul}

0x02 php弱类型

查看源码,

//try again
</?php
$s = $_GET['s'];
$a = 'QNKCDZO';
$md5a = md5($a);
$md5s = md5($s);
if($s != $a && $md5a == $md5s){
   
    echo $flag;
}else{
   
    echo 'try again';
}

要求明文不相等md5值相等,百度了一下,有很多?,
240610708、QNKCDZO、aabg7XSs、aabC9RqS,这几个随便传入哪一个都行,得到flag。
具体关于php弱类型的内容可以见我博客

0x03 An easy SQLi 2(万能密码

1’ or 1=1#/*,密码随便,不输都行
在这里插入图片描述

0x04 头啊头哇

在这里插入图片描述
在这里插入图片描述
改what为flag看看,
在这里插入图片描述
用burp抓包,改User-Agent,
在这里插入图片描述上图说你从google来吗,很明显加个referer头再go一下

在这里插入图片描述

0x05 唯快不破?

套路:用截图工具在它猝不及防的时候一个个接下来。。。
在这里插入图片描述
python:

import requests
url1='http://123.207.166.65/nwuctf/weibu/zxcvbnh.html'
print(requests
最低0.47元/天 解锁文章
ChanCherry、
关注
专栏目录
西大CTF线下赛re第一题——第一次打线下赛
Mask__er的博客
10-31 507
文章目录前言一、工具:二、WP1.打开exe文件2.OD运行确定输入函数位置总结 前言 第一次参加CTF线下赛,因为一直学习的逆向方向,在这里记录一下做出来的reverse第一题的WP,与以后上传的博客一起做一个学习历程。 一、工具: 我所用的工具(如果有新的将来在补充) 查壳工具:PEID 和exeinfope 调试工具:idapro(静态调试,32位和64位),OllyDBG(动态调试32位),x64dbg(动态调试,64位) 去壳工具:目前没找见好用的,以后补充 推荐一个CFFExplore工.
NWU-moectf_misc
LittleKeKe的博客
04-11 551
一个小渣渣的成长之路 zip文件伪加密 伪加密在kali直接提取屡试不爽 当然WInhex: 弄脏的二维码 根据题目提示,估计第一步是黑白翻转,第二步是将定位符复原 Stegsolve一下,黑白翻转: 如图方框位置就是定位符,可以发现左边和左上的模糊不清了,将其修复就可以独处二维码了(截图加PPT真好用,当然PS大神请绕道): 扫描得到flag 送分 看不到图片?右键、查看图像信息: ...
NWUmoectf——web
LittleKeKe的博客
04-10 446
有几题值得深入学习 机器人 robots.txt文件是一个文本文件robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。 让我们来弹一个flag 提交:<script>alert('flag')</script&g...
http中get和post请求
06-29 1659
http中get和post请求
NWUCTF-misc
ChanCherry的博客
09-18 328
0x00 zip文件伪加密 一个 ZIP 文件由三个部分组成: 压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志 普及一下知识,(●’◡’●) 压缩源文件数据区: 50 4B 03 04:这是头文件标记(0x04034b50) 14 00:解压文件所需 pkware 版本 00 00:全局方式位标记(有无加密) 08 00:压缩方式 5A 7E:最后修改文件时间 F7 46:最后修改文件...
CTFWeb robots 通关教程
qq_45196785的博客
09-26 469
robots.txt是一个用于指示搜索引擎爬虫如何访问网站内容的文本文件。6、查看robots.txt,拼接Disallow下的html。3、火狐浏览器乱码,可将页面编码调为UTF-8。1、练习中心 - 题目列表 - Web。2、查看题目-启动动态环境。5、修复文字编码-折叠菜单。4、更多工具-定制工具栏。
2021-09-13-NWU-Online
04-12
车间模板 该存储库是The Carpentries(, 和的)模板,用于为研讨会创建网站。 请不要直接在GitHub上存储此存储库。 相反,请按照以下使用GitHub的导入器来复制此workshop-template存储库并为您的工作坊自定义。...
in-nwu:在 NWU 几年间做的东西,归类和留念
06-24
in-nwuNWU 几年间做的东西,归类和留念。 ###homework / 作业系列 #####lexical @ 2013/10 C++。编译原理课第一个大作业,由正则表达式生成 NFA,转换成 DFA 并化简,最后提供正则匹配测试功能。 #####caculator...
NWU.ICU:课程评价网站
04-04
目前拥有课程评价和自动填报两个模块,更多功能正在计划中.. 起步 本项目使用Django开发,并使用pipenv来管理依赖。 安装依赖: pipenv sync --dev 进入虚拟环境: pipenv shell 根据development.py.sample建立...
西北大学2019春季校赛
qq_40859782的博客
03-22 311
这场比赛出的题也是感觉很不错的,限于时间和能力,先补上前面所有的中等题。确实还有很长很长的路要走的。 A-辛苦的自愿者 首先对所有的信息按照时间和编号排序,然后二分小姐姐的数量,每次检查的时候用一个队列来模拟小姐姐就可以了。题解一开始给出的是优先队列,但是这道题其实是不需要的,因为每个小姐姐发气球的时间都是相同的,所以队列里面是自然有序的。 #pragma GCC optimize(3,"Ofas...
哈希拓展攻击CTF题做法
2301_76690905的博客
12-24 1868
kali下载相关工具hash-ext-attack:hash拓展题目特征:2023楚慧杯upload_shell实验吧之让我进去:前言:具体怎么加密解密补位的原理我不懂,深入理解的部分我在文末挂了链接,以下也只是我做题的结论和通解,可能不准确(但是做题还挺准确),有错误欢迎指出:是在密码加密过程中引入的一个随机值,它与密码结合使用,目的是增加密码的复杂性和安全性。在密码加密中,常见的做法是将用户提供的密码进行哈希处理,然后存储哈希值而不是明文密码
PHP 中的密码哈希
weixin_50251467的博客
07-20 274
PHP 用于服务器端开发,在构建登录和注册过程时需要密码。出于安全目的和隐私问题,我们需要对我们的密码进行哈希处理,这样任何人(包括你和你的数据库管理员)都无法知道用户的密码。但是,当我们对密码进行哈希处理时,当我们想登录时,我们需要对其进行重新哈希处理。本文详细介绍了密码哈希处理以及如何使用 PHP 内置函数和。
CTF-[Web] MD5解题思路
weixin_54438700的博客
04-19 7034
最近练习了一些CTF中关于md5绕过的题目,总结了几种思路,本质没有太大变化,就是各种组合绕过,也是比较考察基础的,前段时间太摆烂了,好久没有更新了,革命尚未成功,同志仍需努力!!!
CTF Web】XCTF GFSJ0485 simple_php Writeup(代码审计+GET请求+PHP弱类型漏洞)
最新发布
HEX9CF的技术博客
05-06 483
小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
CTF-web 第一部分 MD5
iamsongyu的博客
10-08 8615
一. 哈希解密与攻击 哈希就是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,通常用来进行文件摘要或者信息加密。虽说很难具有相同哈希的文件,但是某些特意构造的 信息还是会满足相同的哈希,而且有些时候可以使用字典的方式进行解密和使用哈希攻击。 0x00 SHA $_GET['name'] == $_GET['password'] sha1($_GET['n...
CTF-Web入门-robots
qq_28383747的博客
11-04 1502
本题是一道Web方向的入门题目,重点在于理解robots协议相关知识。robots协议也称为爬虫协议、爬虫规则等,它会建立robots.txt文件来告诉搜索引擎哪些页面可以抓取,哪些不可以抓取。爬虫访问一个站点时,会首先检查站点的根目录下是否存在robots.txt文件。这也是为什么尝试在地址栏中输入/robots.txt的原因。
2018 moeCTF新生题-----一个菜鸟的部分WP
qq_42192672的博客
10-18 2741
嗯嗯,毕竟我还是个信息安全的小菜鸟,就去看看题目练练手,一起加油吧                                                             MISC BASE64: 这题顾名思义我就去用base64解码了呢 bingo:moectf{b@se64_1s_a_ImPorT@ant_coded_format}   凯撒密码: 啊咧,走了...
NWU-moectf_crypto
LittleKeKe的博客
04-11 544
rsa还是做不出啊。。。 Caesar’s code fomulx{uswksj_ak_udskkausd_vg_m_cfgo} 猜测前面为nwuctf,对比相差8 栅栏密码 nwuctf{emmmm_its_ur_flag} 维吉尼亚密码 维吉尼亚加解密规则: 设密钥K=k1k2…kd,明文与密文表中均包含n个字母 明文M=m1m2… 密文C=c1c2… 加密:Ci=(mi+ki)mod ...
XDSEC 西电CTF练习题WriteUp
Banyan的博客
09-04 7327
XDSEC 西电CTF练习题WriteUp西电ctf练习题地址(http://moectf.xdsec.club)PPC1丶算术天才琪露洛(200)这题原意是要我们编程实现,但经过分析发现,每次输入9都会是正确的。。 ①题目说有99道题,那么输入99次就可以得到flag了。。 ②当然上面是笨方法,我们也可以写个脚本爆破。。#coding=utf-8 import socketdef cl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值