BUUCTF 真的很杂

最新推荐文章于 2025-03-17 15:48:05 发布
最新推荐文章于 2025-03-17 15:48:05 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: BUU-Misc 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WYHPROGRAME/article/details/123943424
版权

真的很杂

1.题目概述

image-20220403112820178

image-20220403113705498

2.解题过程

只有一张图片,010打开

image-20220403173626956

结尾发现zip,binwalk分离(foremost分离出一堆没用的照片)

image-20220403190045821

image-20220403190506478

准备安卓逆向工具

1.apktool——可以反编译软件的布局文件、图片等资源,方便大家学习一些很好的布局;
2.dex2jar——将apk反编译成java源码(classes.dex转化成jar文件);
3.jd-gui——查看APK中classes.dex转化成出的jar文件,即源码文件。

apktool(选最新版

iBotPeaches / Apktool / Downloads — Bitbucket
然后把这个网址里的东西复制粘贴保存为apktool.bat,和上面下载的apktool.jar放在同一个目录下

https://raw.githubusercontent.com/iBotPeaches/Apktool/master/scripts/windows/apktool.bat

image-20220403195227657

安装工具dex2jar2.0

Download dex2jar from SourceForge.net

image-20220403195128218

下载jd-gui(我下载的win版)

程序:

Java Decompiler (java-decompiler.github.io)

jar文件

java-decompiler/jd-gui: A standalone Java Decompiler GUI (github.com)

image-20220403195244678

开干

把class.dex文件放到dex2jar目录下,打开终端,输入

./d2j-dex2jar.bat classes.dex

image-20220403194602345

然后会生成一个jar文件

image-20220403194954768

或者直接把class.dex文件拖到d2j-dex2jar.bat上面,也能生成这个文件

然后把这个jar文件用jd-gui.exe打开

image-20220403195455478

不难看到flag(我近视都能发现,你不会看不到吧?)

flag{25f991b27f" + i + "dc2f7a82a2b34" + j + "86e81c4}

i和j代表题目中要我们爆破的字母和数字

多试几十次之后,得到flag

flag{25f991b27fcdc2f7a82a2b34386e81c4}

3.flag

flag{25f991b27fcdc2f7a82a2b34386e81c4}

BUUCTF misc 解题记录 二(超级详细)
qq_51090016的博客
04-14 5167
这里是从第四页开始的题目[SUCTF2018]followme(kali下搜索整个文件夹)蜘蛛侠呀 [SUCTF2018]followme(kali下搜索整个文件夹) 先导出http 再放到kali kali下输入grep -r ‘CTF’ ./文件名/ 蜘蛛侠呀
BUUCTF-刷题记录-5
qq_45628145的博客
10-03 1058
MISC [GKCTF2020]code obfuscation 把给的二维码缩小一下,截个图,就可以用QR扫出来了,得到一个base(gkctf),同时binwalk分离出来一个存在密码的压缩包,猜测是某种base方法得到的结果为压缩包的密码。 最后尝试出来base58编码后的gkctf即为压缩包的密码,即CfjxaPF。 解压出来一张图片和一段JS代码,JS代码去这个在线网站解密并且整理一下,得到 for n in a b c d e f g h i j k l m n o p q r s t u v
CTF类题目复现总结-真的很杂 1
weixin_42487326的博客
03-17 199
CTF类题目复现总结-真的很杂 1
真的很杂(自己出的基础杂项题目)
weixin_30791095的博客
11-18 766
题目文件 Crypto&Misc-1(真的很杂) 题目名称 真的很杂 分值 300 题目描述: 听说misc很杂,来试试吧 考核内容: 1、PNG文件格式熟悉度 2、binwalk使用 3、密码字典的生成 4、爆破能力 5、MP3stego熟悉度 6、栅栏和base64编码熟悉度 ...
BUUCTF MISC刷题笔记(二)
volcano的博客
05-05 3519
BUUOJMisc[WUSTCTF2020]spaceclub派大星的烦恼[SCTF2019]电单车hashcat Misc [WUSTCTF2020]spaceclub 直接用记事本打开txt文件看不到内容,所以用notepad打开 发现有几百行空格,有长有短 把长的换成1,短的换成0,每8位转字符,得到flag f = open("1.txt","r") flag = "" for line in f.readlines(): if len(line) == 13: flag
buuctf-misc部分wp(更新一下)
a3uRa的一个窝
02-17 8624
前言(撮合看看吧 因为直接复制的本地 所以图片就没法显示了 有什么不懂的地方可以给我留言哦~ 然后推荐一个公众号:lin先森 求关注) b站 [BJDCTF2020]纳尼 添加gif头 [BJDCTF2020]鸡你太美 添加gif头 [BJDCTF2020]just_a_rar 爆破 ss的file format [BJDCTF2020]认真你就输了 xls文件 binwalk [BJDCT...
BUUCTF之MISC(二)
04-22 1307
你居然赶我走(jpg尾部插入base64编码) 今天做的第一道题。这是题目。jpg格式的。这个题吧我逗笑了。。先用winhex打开硬是没看见最后的flag。然后用binwalk查了一下发现不是压缩包和双图隐写,最后用stegsolve看了一下文件格式。。最后有一个flag。疑惑winhex为啥看不到,又打开看了一下。。我可能又瞎了。 LSB(LSB隐写) LSB:最低有效位。我的理解就是二进制...
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3581
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
CTF杂项总结
热门推荐
夏日 の blog
02-01 2万+
目录 一、流量分析篇 二、文件头篇 三、压缩包篇 四、图片隐写篇 五、音频隐写篇 六、视频隐写 七、取证 八、Other 参考文章: 一、流量分析篇 通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。 PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者...
web buuctf [WUSTCTF2020]朴实无华
weixin_44214568的博客
04-01 499
1. 根据提示消息应该在头部 2.查看robots.txt (搜索引擎中访问网站的时候要查看的第一个文件) 访问 3.根据头部查看请求头和响应头 4.查看,打开网页里面对汉字的编译是乱码,在火狐浏览器中定制工具里有一个页面编辑的选项,对页面进行编辑,得到源码: <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //...
CTF靶场之BUUCTF介绍
康师父Blog
09-09 1845
需要注册一下,感兴趣的同学可以注册尝试一下,该靶场也会更新最新的CTF赛事题目、由简单到难,适合全方位的练习,目前该靶场共分为几个部分:Basic(基础)、Crypto(加密)、DASBOOK(刷题书)、Misc(杂项)、是Nu1L Team为方便读者打造的免费平台)、Pwn(漏洞利用)、Real(实际会遇到的漏洞)、Reverse(逆向)、Web(网络)、加固题(各个赛事的经典案利)。接下来的一段时间我们就从基础开始进行打靶场,初学小菜鸟,有不对的地方还请指导。
BUUCTF-[MISC杂项]-[大白] 到[zip伪加密]
网络空间安全学习
06-26 828
BUUCTF-[MISC]-大白-----到----->BUUCTF-MISC-zip伪加密
BUUCTF misc 九连环隐写
giaogiao123的博客
02-16 3064
认识新的工具 binwalk -e 原来可以强制提取文件,不要密码 steghide 也可以查看图片里的文件 进入页面首先看到一张图片 按照经验先拉foremost看一下 发现新的东西 一张图片被加密,一个压缩包,很明显这个压缩包无法直接爆破出来,只能考虑这个图片有什么办法,浏览整个图片,并没有什么线索,现在只能考虑是不是图片的伪加密经过思考之后拉近hex看一下,果然是伪加密,然后直接上kali...
BUUCTF__web题解合集(二)
风过江南乱的博客
07-25 1060
[GYCTF2020]Blacklist、 [SUCTF 2019]Pythonginx、 [BJDCTF2020]Mark loves cat、 [BJDCTF 2nd]old-hack、 [GWCTF 2019]我有一个数据库、
BUUCTF 2018 Online Tool
kid的博客
09-10 1万+
BUUCTF 2018 Online Tool 前言 继续刷题,学习,为了成为黑岛的一名工具人而努力! 感谢大佬提供的环境:https://github.com/glzjin/buuctf_2018_online_tool 过程 搭好环境,打开网页,出现一堆代码 OK,首先代码审计…又是php,头大… remote_addr和x_forwarded_for这两个是见的比较多的,服务器获取ip用...
CTF杂项之总结(一)
weixin_47793142的博客
06-06 5384
最近准备CTF比赛,刷题有感,故作总结。 题1: 打开压缩包,得到名为key的exe文件。第一猜想可能是小程序逆向,所以尝试打开运行。系统提示:无法打开的可执行文件。 好的,右键选择属性,查看是否有猫腻。没有任何信息。 右键选择010或者notepad++打开。得到如下信息:看到文件头的关键信息—— data:image/jpg;base64 这是jpg图片base64隐写的关键字。在网售搜寻图片base64转码工具,转码得到原图片。是一张二维码。扫码得到flag。 总结: 1.拿到题目时,应当首先查看是否
BUUCTF PYWebsite
最新发布
03-22
<think>好的,我现在需要帮助用户寻找与BUUCTF相关的PYWebsite资料或教程。首先,我得确认用户提到的“PYWebsite”具体指的是什么。在BUUCTF的题目中,可能存在一个名为“PYWebsite”的挑战题目,或者是与Python网站开发相关的题目。 接下来,我应该回忆一下BUUCTF平台上常见的题目类型。BUUCTF是一个CTF练习平台,涵盖Web、Reverse、Pwn、Crypto等类型。用户提到的引用中提到了Web相关的WP,比如[BJDCTF 2nd]简单注入和PHP escapeshellarg()+escapeshellcmd()的问题,这可能说明用户对Web题目感兴趣,特别是涉及Python的网站题目。 然后,我需要考虑用户可能的实际需求。他们可能在寻找某个特定题目的解题方法,或者想学习如何在BUUCTF上使用Python相关的Web技术。由于用户提到了“PYWebsite”,可能需要查找是否有该名称的题目,或者是否涉及Python网站框架(如Flask、Django)的题目。 接下来,我应该检查现有的引用内容。用户提供的引用1和2都是关于Web题目的WP,其中引用1提到了通过POST参数注入执行系统命令,引用2涉及PHP的函数漏洞。但用户的问题是关于PYWebsite的,这可能与Python相关,因此可能需要查找是否有相关的Python Web题目。 由于用户提供的引用中没有直接提到PYWebsite,我需要考虑其他途径。建议用户搜索BUUCTF平台上的题目列表,或者查看社区论坛、GitHub上的WP汇总,寻找包含“PYWebsite”关键词的题目。此外,可能需要指导用户如何利用现有资源查找资料,比如在GitHub上搜索“BUUCTF PYWebsite writeup”,或者在CTF相关的社区和博客中查找。 另外,用户可能需要了解如何使用Python解决Web题目,比如处理HTTP请求、解析参数、绕过过滤等。因此,除了具体题目的资料,提供一般性的Python Web渗透测试方法也是有帮助的。 最后,确保回答结构清晰,分步骤建议用户如何查找资料,并提供可能的资源链接和搜索关键词,同时提醒他们注意题目名称的正确性,避免因拼写错误导致搜索不到结果。</think>### BUUCTF PYWebsite相关资料及使用方法 根据你的需求,BUUCTF中关于“PYWebsite”的题目可能是涉及Python网站框架(如Flask/Django)或Python反序列化漏洞的题目。以下是分步解决方案: 1. **确认题目名称** - 建议在BUUCTF平台搜索栏输入`PYWebsite`或`Python Web`,确认是否存在名为`[PYWebsite]`或类似名称的题目。部分题目可能缩写为`PYWeb`或包含`Python`关键词。 2. **查找现有Writeup** - **GitHub搜索**:使用关键词`BUUCTF PYWebsite writeup site:github.com`,例如: ```python # 示例代码(用于说明搜索逻辑) import requests response = requests.get("https://api.github.com/search/repositories?q=BUUCTF+PYWebsite") ``` 近期热门题目通常会有详细解析[^1]。 - **CTF社区**:访问CTFHub、CSDN或知乎,搜索`BUUCTF PYWebsite 题解`,部分文章会分析代码审计或漏洞利用过程。 3. **Python Web渗透常用方法** - **Flask SSTI漏洞**:若题目使用Flask框架,尝试通过模板注入获取信息: ```python {{ config.items() }} # 查看配置信息 ``` - **反序列化攻击**:若涉及`pickle`模块,构造恶意序列化数据: ```python import pickle class Exploit: def __reduce__(self): return (os.system, ('cat /flag',)) payload = pickle.dumps(Exploit()) ``` 4. **参考资料推荐** - **官方文档**:BUUCTF题目描述中可能包含提示,仔细阅读题目附件代码中的注释或配置文件。 - **技术博客**:参考类似题目如`[[BJDCTF 2nd]简单注入]`的绕过方法,或`escapeshellarg+escapeshellcmd`组合漏洞的利用思路[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值