NSS [NCTF 2018]全球最大交友网站

已于 2024-06-02 15:24:03 修改
阅读量5.6w 收藏 1
点赞数 3
分类专栏: CTF-web(零散wp合集) 文章标签: web安全 git泄露 git github 网络安全
于 2023-11-10 17:57:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jayjay___/article/details/134338631
版权

NSS [NCTF 2018]全球最大交友网站

题目描述:作为一个程序员你能不知道这个?

那应该就是GitHub了,联想到git泄露。

image-20230712181922396

啥都不要说,先dirsearch扫一下试试。

python dirsearch.py -u http://node4.anna.nssctf.cn:28531/

确实有git泄露,但是这…我是捅了git的老窝了吗???

image-20230712182838639

用githack把源码弄下来

python dirsearch.py -u http://node4.anna.nssctf.cn:28531/

image-20230712183419191

只有readme,不知道什么情况。readme里面的内容是Allsource files areingit tag1.0。所有源码内容都在tag.1.0版本中。

image-20230712183450936

参考一下P神的文章:

XDCTF2015代码审计全解 | 离别歌 (leavesongs.com)

首先利用gitcommit.py脚本**(python2环境下运行)**

XDCTF2015/gitcommit.py at master · phith0n/XDCTF2015 · GitHub

很成功的跑出了一个文件夹,文件夹下有一个文件:

image-20230714152334247

但是这个flag是假的,而且也没涉及到tag.1.0版本。

image-20230714152358978

再利用scrabble工具尝试一下

https://github.com/denny0223/scrabble

这个工具的使用方法就是scrabble 网址,非常的方便。

image-20230714152851893

解压后放在kali中,在文件夹中开终端

image-20230714154233713

成功获取.git文件

./scrabble http://node4.anna.nssctf.cn:28849/

image-20230714154055697

查看历史git

git log

image-20230714154254615

有过三次 commit,当前 head 指向 hint 这次 commit。

git show HEAD 02b7
02b7是commit前四位,其实前几位都行,能区分不同commit就行啦

得到flag

image-20230714154938514

Jay 17
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
最大同性交友网站Github(一)——介绍与使用
一条没有梦想的咸鱼
03-18 7万+
Git:版本控制工具(一个可以安装在自己PC上的软件)。Github:一个面向开源及私有软件项目的托管平台,诞生于2008年,进一步体现了git的开源文化,只支持git作为唯一的版本库格式进行托管。git是一款使用命令行的工具,github使git的使用变得更加简单。不管你开发什么项目,都很有可能在github上找到现成的代码来进行参考。GitHub网站一、登录注册点“Sign up”进行注册,如...
nss-3.9 ubuntu linux
12-24
nss-3.9 linux
混合密码系统设计代码c++实现_通过Network Security Services导出Firefox浏览器中保存的密码...
weixin_39862871的博客
12-04 296
0x00 前言在上一篇文章《渗透技巧——导出Firefox浏览器中保存的密码》介绍了导出Firefox浏览器密码的常用方法,其中firefox_decrypt.py使用NSS(Network Security Services)进行解密,支持key3.db和key4.db的Master Password解密。本文将要对其涉及的原理进行介绍,编写测试代码,实现对Master Passwo...
NJUPTCTF-2018出题心得
郁离歌丶的博客
01-21 4446
NJUPTCTF-2018出题心得 NJUPTCTF-2018结束也有几个月了,我也是昨天才忙完各种琐事,包括比赛、考试、出题、总结等等。这段时间经历的事情太多,心也逐渐疲惫,同时感到和同龄人的差距越来越大。现在要补这几个月落下的东西,昨天把CTF学习交流群的入群题出了一下,题目比较简单,希望师傅们别喷。这段时间欠的最久的应该就是校赛的出题心得了吧。虽然我的题全部都有人解出,但是还是有很多人要我写...
CVE-2020-25648:RHSA-2021:1384: nss 安全和BUG修复更新
hvang1988的专栏
10-22 2933
CVE-2020-25648:RHSA-2021:1384: nss 安全和BUG修复更新 1、RHSA-2021漏洞详情 RHSA-2021:1384: nss 安全和BUG修复更新-吾爱编程网 2、漏洞描述 漏洞编号:CVE-2020-25648 漏洞公告:Mozilla NSS拒绝服务漏洞 漏洞描述:NSS是美国Mozilla基金会的一个底层密码学库。该库支持多种加密算法,并且 Firefox 浏览器的TLS实现基于该库。 NSS 3.58之前的版本存在安全漏洞,该漏洞源于NSS处理CCS
理论+实操:nginx网站服务
Lfwthotpt的博客
12-19 618
文章目录一:关于nginx1.1 一款高性能、轻量级web服务软件二:nginx编译安装2.1 安装支持软件2.2 创建运行用户、组2.3 编译安装2.4 优化软件2.4.1 将脚本软连接到/usr/local/sbin中三: Nginx运行控制3.1 检查配置文件3.2 启动、重载配置、停止Nginx3.2.1 启动服务3.2.2 关闭防火墙3.2.3 安装elinks3.2.4 测试网站3.2...
2018 南邮 NCTF writeup(部分)更新中---
筱阳的博客
11-27 2377
2018 南邮 NCTF writeup 周六的打南邮的比赛,做了一道签到题,接着是一道SQL注入,想了一上午,最终还是没有做出来,怪自己喜欢用sqlmap,加上自己做的sql注入题目少 签到题 点击链接直接跳转到百度了,用burpsoup重放一遍就OK了 滴!晨跑打卡 通过用burpsoup的sql fuzz测试了一下 发现注释了 空格 # - * 将注释全都过滤了,只能用单引号闭合 绕过...
NSSCTF web 刷题记录2
rev1ve的博客
09-17 3219
源代码phpif(!|\&|\*|\?else{else{?':?"";if ((!break;break;?"";");?简单分析一下,首先是两个函数,功能分别为正则匹配一些字符;foreach循环检测每个值是否合法。然后就是swtich选择结构。我们思路是可以先看看hint有什么,为了绕过if条件判断,我们可以用%81去绕过,因为%81为不可见字符,escapeshellcmd又可以将不可见字符消除payload。
NSS:没有系统网站安全
05-01
新南威尔士州没有系统网站安全
NSS30100LT1G的技术参数
12-10
产品型号:NSS30100LT1G类型:PNP集电极-发射集最小雪崩电压Vceo(V):30集电极最大电流Ic(max)(mA):2A直流电流增益hFE最小值(dB):100直流电流增益hFE最大值(dB):300最小电流增益带宽乘积Ft(MHz):100封装/温度(℃):SOT-...
NNS.rar_NSS.rar_nss
09-21
NSS genuin for windows
NSS.rar_nss 内核_哈希表
09-19
封装了Linux内核开发中的一些重要数据结构,包括队列、哈希表等,以及一些网络函数和多线程互斥机制
通信NSS学习技术资料.doc
11-10
NSS学习资料
NSS20500UW3T2G的技术参数
12-10
产品型号:NSS20500UW3T2G类型:PNP集电极-发射集最小雪崩电压Vceo(V):20集电极最大电流Ic(max)(mA):7000直流电流增益hFE最小值(dB):250直流电流增益hFE最大值(dB):-最小电流增益带宽乘积Ft(MHz):100封装/温度(℃):...
NSS老诺基亚工具
12-12
刷机解锁神器,老鸡恢复秦春必备既有分i哦大佛i啊交话费i哦三大hi哦啊号
全球最大同性交友网站 GitHub 10 岁了!
热门推荐
程序员的那些事
04-13 1万+
(点击上方公众号,可快速关注)编译:程序员的那些事(ID:iProgrammer)什么鬼?最大同性交友网站 GitHub?嗯,你没看错~  这是 GitHub 在程序员圈子的另外一个名字咯~十年中的重要时刻2008 年 4 月 10 日,GitHub 结束了内测,正式上线。2018 年 4 月 10 日, GitHub 官方在本月 10 日发布了一个庆祝页面( https://github.com
谷歌浏览器假死,访问任何网站都毫无反应
ljl1015ljl的博客
12-01 2273
参考该处
什么是网站主服务器域名,主域名服务器是什么
weixin_39998998的博客
08-10 1102
主域名服务器是什么 内容精选换一换香港节点和大陆节点的区别如下:香港节点购买域名后无需备案,可以直接在后台绑定域名并使用。大陆节点购买域名后需要先完成备案,才可以在后台绑定域名。香港节点支持绑定多个一级或者子域名,大陆节点只能绑定一个一级域名和多个子域名。香港节点不支持对接小程序和公众号。云速建站是自适应建站,不是响应式建站。自适应是根据访问设备不同自动匹配不同的网站,即一DNS概述1简介DNS即...
NSS12200LT1G的技术参数
12-10
产品型号:NSS12200LT1G类型:PNP集电极-发射集最小雪崩电压Vceo(V):-12集电极最大电流Ic(max)(mA):-2000直流电流增益hFE最小值(dB):150直流电流增益hFE最大值(dB):300最小电流增益带宽乘积Ft(MHz):100封装/温度(℃):...
linux nss
最新发布
02-01
Linux NSS(Name Service Switch)是一个用于管理系统名称解析的模块化框架。它允许系统管理员配置不同的名称解析服务,如DNS、LDAP、NIS等,并根据需要进行切换。 NSS的主要功能是将不同的名称解析服务统一起来,使得应用程序可以通过统一的接口进行名称解析,而不需要关心具体使用了哪种名称解析服务。这样可以提高系统的灵活性和可扩展性。 在Linux系统中,NSS由一系列动态链接库(.so文件)组成,每个库对应一个特定的名称解析服务。当应用程序需要进行名称解析时,它会调用NSS接口,NSS会根据配置文件中的优先级顺序选择合适的库进行解析。 NSS的配置文件是/etc/nsswitch.conf,其中定义了不同类型的名称解析服务的优先级顺序。例如,hosts条目定义了主机名解析服务的优先级顺序,默认情况下是先使用/etc/hosts文件进行解析,然后再使用DNS进行解析。 除了主机名解析外,NSS还可以管理其他类型的名称解析,如用户和组信息、密码和身份验证等。通过配置nsswitch.conf文件,管理员可以根据实际需求选择合适的名称解析服务。 总结一下,Linux NSS是一个模块化的名称解析框架,它允许系统管理员配置不同的名称解析服务,并提供统一的接口供应用程序进行名称解析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jay 17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值