2020哔哩哔哩bilibili安全挑战赛前5题思路

最新推荐文章于 2024-08-07 16:21:53 发布
最新推荐文章于 2024-08-07 16:21:53 发布
阅读量6.8k 收藏 1
点赞数 13
分类专栏: 学习记录 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YooLcx/article/details/109260556
版权

只有前五题是因为,剩下的不会啊orz
此外,这只是思路,一定要自己尝试~~~
只做前5题是铁定没奖的,直接“抄答案”不会让你得到任何的好处,而且还会磨灭你自己解题闯关的兴趣,所以一定要自己尝试!

  • 第一题:
    “页面的背后是什么” 指网页源代码
    Ctrl+U 读网页源代码 看到向一个地方发送了get请求,你自己去发一个请求,或者直接找找flag1相关的东西就能找到
  • 第二题:
    "真正的秘密只有特殊的设备才能看到"指需要使用bilibili Security Browser浏览器访问
    那就 把浏览器伪造成"bilibili Security Browser" 就行
  • 第三题:
    “密码是啥”
    密码是啥可以 自己试,此外,用网上给的弱口令词典是没有前途的~
  • 第四题:
    "对不起,权限不足~"指你的身份不对
    伪装成 超级管理员 就行,怎么伪装能做到这个题的大概都知道吧
    记得首字母大写
  • 第五题:
    Ctrl+U 读网页源代码,看看它想要干什么
    注意里面有个神奇的uid(也不知道是不是b站哪位程序猿的)
    暴力遍历要从合适的位置开始
YooLcx
关注
专栏目录
哔哩哔哩1024安全挑战赛 Bilibili CTF解(含代码)
u013560932的博客
10-25 4766
2020-10-25 Bilibili在1024节上线了一个CTF挑战赛,非常amazing啊,虽然面几还是很简单的,不过大佬太多了,服务器都已经被扫爆了,redis也连不上去,在我做的时候甚至各种资源文件都已经不存在了,真是诸神混战,活生生把单机打成了联网,我都怀疑是不是有人故意删了资源文件,故意暴力扫描,让后面的人没法做,拿不到奖品。 第一 没啥好说的,查看源码,input里面的value就是flag 第二 更改UA为bilibili Security Browser发送请求
2020-1024程序员节首届哔哩哔哩安全挑战赛Write Up
无限迭代中......
10-24 1万+
第一 “页面的背后是什么” 指网页源代码 Ctrl+U 查看网页源代码看到向一个地方发送了get请求 发送一个请求,或者直接找找flag1相关的东西就能找到 第二 "真正的秘密只有特殊的设备才能看到"指需要使用bilibili Security Browser浏览器访问 使用抓包工具抓包 把浏览器(UA)伪造成"bilibili Security Browser" 需要注意的是如果是Postman需要添加Cookie 第三 “密码是啥” 密码是啥可以自己...
2020-1024-33的挑战状 —— 首届哔哩哔哩安全挑战赛
yiiiing的博客
10-26 511
00x1 第一目:页面的背后是什么? 看源码 直接访问http://xxxx/api/admin即可 00x2 第二目:真正的秘密只有特殊的设备才能看到 需要更改User-Agent为bilibili Security Browser 00x3 第三 目:密码是啥? 弱口令 00x4 第四 目:对不起,权限不足~ 首先查看源码 将role值解密为 user 对role值进行爆破 00x5 第五 目:别人的秘密 查看源码 遍历uid值 00x8 第八 00x1
2020程序员节首届哔哩哔哩安全挑战赛
weixin_45844670的博客
10-25 647
第一 查看源码,定位对应元素,看到flag1的value 第二 既然说了需要用bilibili Security Browser访问,那么我们改一下UA头 这里我直接把这个浏览器加到了原来的ua头之后,试了好几次都不行 后来才意识到要把其他都删掉 这里我们用bp或者f12都可以改 第三 纯属巧合,正经做法我还没想到 name:admin pwd:bilibili 第四 显示权限不足 这里我们想到cookie 查看了一下,发现有一个role 看起来像md5 我们解密一下 发现是user 那么
bilibili 安全知识竞赛总结
Jiuh-star的博客
10-27 423
本文写自28号,比赛已经过去一天了,目目1~10的flag获取地点也已经全部被找到。在比赛中发现一些零零散散的问,在此做总结。 Flag 1~5 这个没什么好说的,基础知识很容易能找到 Flag 6 Referer字段盲注。这个一开始就想到了,但是用sqlmap扫描的时候没有发现问。后续经过大佬提醒提高了延迟再次扫描才发现。后续经过分析认为是sqlmap请求过快引起WAF拒绝访问导致失败o(╥﹏╥)o Flag 7 根据首页 /api/images?file=banner.png 猜测存在任意文件读
bilibili2021CTF-安全挑战赛-reverse-复现
ookami6497的博客
10-27 1227
哔哩哔哩安全挑战赛逆向复现第一第二 第一 第一逆向很简单,用JEB打开,点开com包,找到主函数按tab查看伪代码,加密代码很简单,一个简单的异或就行。 将v2和v1 转成字符得到两串base64加密后的密文 v2 = NjI1OzA3YGAuNjNmNzc7YmU= v1 = YWBlOmZnNjAuOmJmNzAxO2Y= base64解码后得到 v2 = 625;07``.63f77;be v1 = a`e:fg60.:bf701;f 然后搞个脚本就行,脚本如下:
2024年美国大学生数学建模竞赛思路与源代码【2024美赛A
斯黄人民的博客
02-01 2886
幼体的生长速度生长速度受到食物供应的影响。在食物供应较少的环境中、生长速度就会降低,雄性海灯鱼的比例可达到78%左右。在食物更容易获得的环境中,雄性的百分比据观察,雄性约占种群的56%。尽管许多物种在出生时的性别比例为1:1,但其他物种物种则偏离了均匀的性别比例。例如美洲鳄孵卵巢的温度会影响其出生时的性别比例。我们的任务是研究一个物种能够根据资源供应情况改变性别比例的利弊。灯鱼的作用十分复杂。而在世界上的一些地区,如斯堪的纳维亚半岛、波罗的海地区,以及太平洋地区的一些土著居民眼中,灯鱼也是一种食物来源。
用HTML+CSS简单仿制了一个bilibili电脑界面⚆_⚆(做着玩的)
qq_42459832的博客
09-28 1万+
** 效果图 **:两边的的标签是因为长截图滑动时,它会跟着一起动,实际并没有那么长(⑉・̆-・̆⑉),截图对跟着跑的东西默认截图成这样,这页面里没有js和轮播,本身想加上去,还是太懒了… 下面上代码,真的很简单,没有一点技术含量,更像是在拼图 ( ˶˙º̬˙˶ )୨⚑︎,不过代码超级无敌多,有4000+行,不过大部分都是重复的。 首先是主体HTML <!DOCTYPE html> <html lang="zh-CN"> <head> <meta char
2024年睿抗-ROS 机器人虚拟仿真挑战赛(新手冲国赛教程)(一)
最新发布
weixin_71099527的博客
08-07 267
从零开始ROS 机器人虚拟仿真挑战赛
2020 第一届 Bilibili 网络安全挑战赛
Specif1c的博客
10-24 2657
第一:页面的背后是什么? 第二: 真正的秘密只有特殊的设备才能看到 第三: 密码是啥? 第四: 对不起,权限不足~ 第五: 别人的秘密 6-10 还在研究中 …
bilibili已不支持IE8及以下版本浏览器访问的解决方法
热门推荐
浏览器管家
04-23 2万+
当我们使用IE8或旧版IE访问B站的时候,网页一片空白,上面有一条横幅,提示“为了保护你的账号安全bilibili已不支持IE8及以下版本浏览器访问,建议你升级到IE最新版本浏览器,或使用Chrome等其他浏览器。”,这是怎么回事呢?其实就是因为微软已经在2016年停止支持旧版IE,所以B站也不支持旧版IE了。如果我们要正常使用B站,要么就升级IE,要么就使用其他内核浏览器。那么,我们应该怎么做...
33的挑战状(bilibili首届安全挑战赛)
xiaoguaiii的博客
10-26 800
0x01 bilibili在1024的时候出了个活动,反正在家菜的没事做,随便看看。 0x02 flag1页面的背后是什么? 直接查看源码 <script> $.ajax({ url: "api/admin", type: "get", success:function (data) { //console.log(data); if (data.code == 200){ // 如果有值:端跳转
bilibili2020 1024ctf安全挑战赛(上)
weixin_44145452的博客
10-26 2638
地址:http://45.113.201.36/start.html flag为动态,每人都不一样,在此只提供思路 第一: 直接F12查看源码 找到flag: b0e5f3f3-321b5688-c05c2a64-e2bb4b6f 第二: 还是这个页面,我们要把user-agent修改为bilibili Security Browser 由于hackbar需要付费。所以我们在火狐浏览器上使用HackBar V2插件 修改user-agent Execute运行后,在源码里发现flag可能存
【Requests】Bilibili Security 1024程序节 CTF记录
CD's Coding
10-24 5465
0x00 言 B站搞了个1024程序员节,看起来是个 toy CTF,有点开心。 于是想到了曾经在CTF和ACM的路口选择了ACM,CTF一直是心中的一点遗憾,想着要不咱……玩玩看? 0x01 养成看到网页就F12的好习惯 页面的背后是什么? 目地址: http://45.113.201.36/index.html 说到网页的“背后”,一般想到的就是有东西被隐藏了,我们可以直接审查元素看到果然有个 hidden: <body> <div class="banner"&g
哔哩哔哩2021年1024程序员节算发与安全——解析答案
Aluxian_的博客
10-25 3334
哔哩哔哩2021年1024程序员节算发与安全 最后图片仅供参考
Browser Security-基本概念
weixin_30318645的博客
08-19 135
URL格式: scheme://[login[:password]@](host_name|host_address)[:port][/hierarchical/path/to/resource[?search_string][#fragment_id]] 下面详细解释一下各个部分: scheme scheme是协议名不区分大小写,以冒号结尾,表示需要使用的协议来检索资源。 URL协...
Bibilibili 1024程序员节 CTF 启蒙
青冬的博客
10-24 3369
其中,username+password就是简单String标识,nonce是一个类似于安全性的严格模式,这个值越小,越容易算出对应的答案。正常跑这个js肯定是跑不出来的,所以我们可以改造一下,然后放到node.js中运行,顺便把i++换成i-- 会更快。在答部分安全后,就可以开始对应的夺旗赛,然后就可以写篇文章水一水,不包含答案,仅仅是部分思路。然后post 提交到 /crack1/login就行。哔哩哔哩 (゜-゜)つロ 干杯~-bilibili
BCTF—bilibili_2020安全挑战赛记录
afei001
12-24 242
目录 1.言 2.页面后面是什么? 3.真正的秘密只有特殊的设备才能看到 4.密码是啥? 5.对不起权限不足~ 6.别人的秘密 7.结束亦是开始 8.一键出flag脚本 1.言 昨天是10月24号,国内行业内的人几乎都把这一天作为程序员的节日了。本来在B站上看Geekpwn比赛的我,突然发现B站也搞了一个安全挑战赛。ctf打的少没啥经验。 后来有人在github上说,这个整的就是NU1l的屠榜赛。人家Nu1l可是国内有名的CTF战队...
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值