2021B站1024程序员节 网络攻防CTF

最新推荐文章于 2024-09-08 14:10:35 发布
最新推荐文章于 2024-09-08 14:10:35 发布
阅读量5.9k 收藏 2
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_KolaFish_Y/article/details/120947419
版权

2021bilibili 1024程序员节 CTF题WP

author:dr@g0n🐉

0x1 aes解密

1024程序员节,大家一起和2233参与解密游戏吧~
happy_1024_2233:
e9ca6f21583a1533d3ff4fd47ddc463c6a1c7d2cf084d364
0408abca7deabb96a58f50471171b60e02b1a8dbd32db156

aes在线解密网站:http://tool.chacuo.net/cryptaes
在这里插入图片描述

0x2 WEB1

某高级前端开发攻城狮更改了一个前端配置项
https://security.bilibili.com/sec1024/q/

题目提示你看前端,直接就在源码里找到了。。。
在这里插入图片描述

0x3 WEB3

PHP is the best language for web programming, but what about other languages?
https://security.bilibili.com/sec1024/q/eval.zip

题目给了源代码

<?php

$args = @$_GET['args'];

var_dump($args);
var_dump(count($args));
if (count($args) >3) {
    var_dump("exit");
    exit();
}
for ( $i=0; $i<count($args); $i++ ){
    if ( !preg_match('/^\w+$/', $args[$i]) ) { //字母数字下划线汉字字符,%0a即换行符号可以绕过
        var_dump('exit2');
        exit();
    }
}
// todo: other filter
$cmd = "" . implode(" ", $args);
var_dump($cmd);
exec("$cmd", $out);
var_dump($out) ;
for ($i=0; $i<count($out); $i++){
    echo($out[$i]);
    echo('<br>');
}
?>

在这里插入图片描述
在这里插入图片描述

0x3 WEB4

懂的都懂

题目经典谜语人。。。
在这里插入图片描述
在日志界面看到一个api接口。json数据格式
在这里插入图片描述
在这里插入图片描述
username处有注入点,五个字段,过滤了空格。
在这里插入图片描述

在这里插入图片描述
中间的过程懒的贴了,直接结果。
在这里插入图片描述

攻防世界 Misc高手进阶区 2分题 stage1
闵行小鱼塘
10-24 939
继续ctf的旅程,攻防世界Misc高手进阶区的2分题,本篇是stage1的writeup
安全攻防知识-4】CTF之MISC
qq_26579613的博客
03-24 3万+
1、MISC介绍 MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。 2、隐写术 隐写术包括图片、音频、视频等文件隐写,在处理这类问题时,应优先确认该文件的实际类型,可参考下图,查看其文件头信息。 常用以下工具: 1、010editor 查看文件类型 2、Binwalk 合并文件 3、Notepad++ 进行
Bibilibili 1024程序员节 CTF 启蒙
青冬的博客
10-24 3405
其中,username+password就是简单String标识,nonce是一个类似于安全性的严格模式,这个值越小,越容易算出对应的答案。正常跑这个js肯定是跑不出来的,所以我们可以改造一下,然后放到node.js中运行,顺便把i++换成i-- 会更快。在答题部分安全后,就可以开始对应的夺旗赛,然后就可以写篇文章水一水,不包含答案,仅仅是部分思路。然后post 提交到 /crack1/login就行。哔哩哔哩 (゜-゜)つロ 干杯~-bilibili。
哔哩哔哩2021-1024程序员节-安全攻防赛1-4解
m0_46736332的博客
10-25 907
哔哩哔哩2021-1024程序员节-安全攻防赛1-4解 萌新方向 1. 安全攻防–1 题目链接:https://security.bilibili.com/sec1024/q/r1.html 打开之后发现 f12 抓包 都没有结果,看了看链接,也没有扫文件的必要了。ctf中我们要充分利用到每个出现的字。既然说了是解密,那就从解密下手,肉眼观察字符串我们无法去辨认这串字符的加密方法。happy_1024_2233也看不出来什么,后来我有一个朋友跟我说是aes加密,happy_1024_2233是密钥,那直接
(图解 HTTP)一篇文章带你深入了解 HTTP 协议
南淮北安的博客
11-09 5326
文章目录一、了解客户端和服务器通讯的过程 一、了解客户端和服务器通讯的过程 HTTP协议和TCP/IP协议族内的其他众多的协议相同,用于客户端和服务器之间的通信。请求访问文本或图像等资源的一端称为客户端,而提供资源响应的一端称为服务器端。 在两台计算机之间使用HTTP协议通信时,在一条通信线路上必定有一端是客户端,另一端则是服务器端。 有时候,按实际情况,两台计算机作为客户端和服务器端的角色有可能会互换。但就仅从一条通信路线来说,服务器端和客户端的角色是确定的,而用HTTP协议能够明确区分哪端是客户端,哪
2020-1024-33的挑战状 —— 首届哔哩哔哩安全挑战赛
yiiiing的博客
10-26 523
00x1 第一题: 题目:页面的背后是什么? 看源码 直接访问http://xxxx/api/admin即可 00x2 第二题: 题目:真正的秘密只有特殊的设备才能看到 需要更改User-Agent为bilibili Security Browser 00x3 第三题 题目:密码是啥? 弱口令 00x4 第四题 题目:对不起,权限不足~ 首先查看源码 将role值解密为 user 对role值进行爆破 00x5 第五题 题目:别人的秘密 查看源码 遍历uid值 00x8 第八题 00x1
CTF-WEB篇 攻防世界题目实战 每日一练
2401_84297035的博客
04-28 847
index.php是一个常见的文件名,通常用于Web服务器中的网站根目录下。它是默认的主页文件名,在访问一个网站时,如果没有特别指定页面文件名,则服务器会自动加载index.php文件。在Web中,index.php文件通常是网站的入口文件。它包含了处理用户请求的代码,等,同时,它是连接后端逻辑与前端界面的桥梁之一。
当爬虫工程师遇到 CTF2021 年 B 站 1024 安全攻防题解
K哥爬虫
10-23 6215
文章目录第一题:加密解密第五题:APP 逆向总结 最近看到哔哩哔哩上线了一个 1024 程序员节的活动,其中有一个技术对抗赛,对抗赛又分为算法与安全答题和安全攻防挑战赛,其中安全攻防挑战赛里面有 7 个题,其中有 APP 逆向和解密的题目,作为爬虫工程师,逆向分析的技能也是必须要有的,于是 K 哥就以爬虫工程师的角度,尝试做了一下其中逆向相关的两个题,发现逆向不是很难,分享一下思路给大家。 (以爬虫工程师的角度分析安全攻防的题,网安大佬勿喷!) 1024 程序员节活动地址:https://www.bi..
攻防系列——板块化刷题记录(敏感信息泄露)
weixin_43140411的博客
10-29 2204
因为之前通关了两个靶场,说想试一下在线靶场联系一下。其实感觉思路还是很有限。遇到难题可怎么办呜呜
ctf-misc PNG(文件头IHEDR)图片隐写
persist213的博客
02-26 3万+
爆破crc校验所需要了解到的PNG文件头知识- (固定)八个字节89 50 4E 47 0D 0A 1A 0A为png的文件头 - (固定)四个字节00 00 00 0D(即为十进制的13)代表数据块的长度为13 - (固定)四个字节49 48 44 52(即为ASCII码的IHDR)是文件头数据块的标示(IDCH) - (可变)13位数据块(IHDR) - 前四个字节代表该图片的宽 ...
[BUUCTF]Reverse——[WUSTCTF2020]funnyre
mcmuyanga的博客
07-13 1434
[WUSTCTF2020]funnyre ELF文件,无壳,用ida64打开,程序没法f5,从程序入口点找到main函数的汇编部分 因为这边没有创建函数,所以无法f5 在选取汇编部分打算创建函数的过程中发现了不对劲的地方 jz和jnz跳转到同一地址,花指令,nop掉,然后那个call看着也不太对的样子,先也nop掉,call下面的那条jz也nop掉。经过多次测试,要从第一条jz指令nop到xor eax,eax之前 一共有4处需要修改nop掉,修改完后,发现一共有两端函数没有创建,拿一处说一
2020哔哩哔哩bilibili安全挑战赛前5题思路
YooLcx的博客
10-24 6863
只有前五题是因为,剩下的不会啊orz 此外,这只是思路,一定要自己尝试~~~ 只做前5题是铁定没奖的,直接“抄答案”不会让你得到任何的好处,而且还会磨灭你自己解题闯关的兴趣,所以一定要自己尝试! 第一题: “页面的背后是什么” 指网页源代码 Ctrl+U 读网页源代码 看到向一个地方发送了get请求,你自己去发一个请求,或者直接找找flag1相关的东西就能找到 第二题: "真正的秘密只有特殊的设备才能看到"指需要使用bilibili Security Browser浏览器访问 那就 把浏览器伪造成"b.
BUUCTF [MRCTF2020]套娃
4pri1
07-22 379
BUUCTF [MRCTF2020]套娃 != 与!== 和== ===对应 1,http://localhost/aaa/ (打开aaa中的index.php) 结果: $_SERVER['QUERY_STRING'] = ""; $_SERVER['REQUEST_URI']= "/aaa/"; $_SERVER['SCRIPT_NAME']= "/aaa/index.php"; $_SERVER['PHP_SELF']= "/aaa/in...
攻防世界--->你好,CTF
最新发布
shdbehdvd的博客
09-08 228
签到题:将输入的字符变成16进制,与密文进行比对。那么直接将密文还原成字符就行了。如果不清楚,可以动调。
准备网络安全攻防比赛,需要学习什么内容?有什么推荐的大佬可以学习,或者相关博客和B站视频
06-12
网络安全攻防比赛主要包括以下几个方面的内容: 1. 网络基础知识:包括网络协议、网络拓扑、网络安全...此外,你还可以通过参加一些线下的CTF比赛、在线题库练习、阅读相关书籍等方式来提升自己的网络安全攻防技能。
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
CTF wp 2018“骇极杯”全国大学生网络安全邀请赛暨第四届上海市大学生网络安全大赛线上赛 writeup
Thea_1207的博客
11-05 3887
为0x00 签到题操作内容: | 登陆比赛界面上去看到签到题,一般情况下签到题是没有难度的题目给定一串字符MZWGCZ33GM2TEMRSMQZTALJUGM4WKLJUMFTGELJZGFTDILLBMJSWEYZXGNTGKMBVMN6Q Base32 一闪而过,比的就是手速,解码拿到flag。 FLAG 值: 标志{35222d30-439e-4afb-91F4-abebc73fe0...
2021bilibili1024程序员节-- 安全攻防题目1(AES)
weixin_59725175的博客
10-25 904
题目如下: 这是密码学中高级加密里的AES。 具体相关知识也可以参考我的blog~下面就是搬运过来d现代密码之对称算法 | Suy's Blog (0w0suy.github.io)https://0w0suy.github.io/2021/07/30/%E7%8E%B0%E4%BB%A3%E5%AF%86%E7%A0%81%E4%B9%8B%E5%AF%B9%E7%A7%B0%E7%AE%97%E6%B3%95/ 高级加密标准(Advanced Encryption Stand...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值