CTF-实验吧-FALSE

最新推荐文章于 2023-10-28 17:34:26 发布
最新推荐文章于 2023-10-28 17:34:26 发布
阅读量678 收藏 1
点赞数
分类专栏: CTF 文章标签: CTF 解题思路 FALSE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a461477412/article/details/98319090
版权

题目:

PHP代码审计

hint:sha1函数你有认真了解过吗?听说也有人用md5碰撞o(╯□╰)o

格式:CTF{}

解题链接: http://ctf5.shiyanbar.com/web/false.php 

解题思路:

打开源代码


<?php
if (isset($_GET['name']) and isset($_GET['password'])) {
    if ($_GET['name'] == $_GET['password'])
        echo '<p>Your password can not be your name!</p>';
    else if (sha1($_GET['name']) === sha1($_GET['password']))
      die('Flag: '.$flag);
    else
        echo '<p>Invalid password.</p>';
}
else{
	echo '<p>Login first!</p>';
?>

发现题目考察的是要输入不同的用户名和密码,做hash运算后得到的hash值相同就出flag。题干中还提示了不需要使用hash碰撞,可以看下hash1函数的使用。

查看文档发现hash1函数的变量要是string类型,如果不是string类型的话就返回FALSE。那么如果我能使用户名和密码都返回FALSE不是就相同了么。只要把用户名和密码都搞成数组就行了!

看源码是GET提交的直接访问http://ctf5.shiyanbar.com/web/false.php?name[]=admin&password[]=admin1就得出flag了

 

kongcz
关注
专栏目录
CTF中常见的黑魔法
L1ni01
10-20 2346
CTF中常见的黑魔法 入门级别 不是很全,慢慢总结 1.sha1和md5 要求变量原值不同但md5或sha1相同的情况下 1.0e开头的全部相等(==判断) 240610708 和 QNKCDZO md5值类型相似,但并不相同,在”==”相等操作符的运算下,结果返回了true. Md5和sha1一样 2.利用数组绕过(===判断) Md5和sha1对一个数组进行加密将返回NULL;而NULL===NULL返回true,所以可绕过判断。 2.strcmp函数的绕过 strcmp 的参数只能是字符串,当我们传入
实验CTF-web
code_lab
02-27 6436
登陆一下好吗类型:sql注入已经过滤了/ # -- select or union |等,但是没有过滤单引号payload:username=pcat'='&password=pcat'='原sql语句为:select * from user where username='用户名' and password='密码'拼接后为:select * from user where username='p
CTF实验吧 这就是一个坑wp (明文攻击)
ADreamClusive的博客
08-07 9870
这就是一个坑wp 我们打开压缩包的tips.txt,里面提示:密码是十位大小写字母、数字、特殊符号组成的,你爆破的开么?! 这个tip告诉我们爆破是基本不可能了 然后我们发现falg.zip里面也有个tips.txt,然后我猜想flag.zip里面的tips.txt和另外一个tip
CTF---Web入门第九题 FALSE
weixin_34082789的博客
11-09 197
FALSE分值:10 来源: iFurySt 难度:易 参与人数:4567人 Get Flag:2144人 答题人数:2157人 解题通过率:99% PHP代码审计 hint:sha1函数你有认真了解过吗?听说也有人用md5碰撞o(╯□╰)o 格式:CTF{} 解题链接: ...
实验吧之这就是一个坑
weixin_30876945的博客
09-07 157
这个题的密码并没有爆出来,记录的是我的解题历程 将题目的zip文件下载下来,用WinRAR打开,发现里面有两个文件,一个是flag.zip,一个是tips.txt,打开tips.txt一看,他已经提示强制爆破是不行的了: 再打开flag.zip: 既然打不开文件,爆破也不行,那就另想办法,不知大家有没有注意到我圈出来的两个tips.txt文件的CRC32,他俩长得都...
ctf up怎么写 write_CTF从入门到成仙,40道bugku Write Up,看完还有什么操作搞不定!...
weixin_39785165的博客
01-14 461
CTF从入门到成仙,40道bugku Write Up,看完还有什么操作搞不定!本文原创作者:Passerby2,本文属i春秋原创奖励计划,未经许可禁止转载!前言之前刷过的bugku,这次把之前的解题思路过程都总结到一起了,差不多有40道吧应该算比较全了。题目说:访问参数为:?id=x不允许包含“--”,空格,单引号,双引号,“union”关键字,查询文件中包含“”(双引号)里面的内容,需要查询的...
CTF实验吧-WEB专题-1
qq_43679771的博客
11-13 211
CTF实验吧-WEB专题-1
CTF实验吧-WEB专题-4
qq_43679771的博客
11-14 263
CTF实验吧-WEB专题-4
ctf 选择题 题库_实验CTF题库-WEB题(部分)
weixin_39613548的博客
12-19 1232
看起来有点难提交adminhttp://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login用sqlmap检测是否有注入┌─[root@sch01ar]─[/sch01ar]└──╼ #sqlmap -u "http://ctf5.shiyanbar.com/basic/injec...
实验ctf
四盘山博客
07-25 3277
1/登陆一下好吗??http://ctf5.shiyanbar.com/web/wonderkun/web/index.html =' =' ctf{51d1bf8fb65a8c2406513ee8f52283e7} 2/who are you ? http://ctf5.shiyanbar.com/web/wonderkun/index.php import requests impor
shal()函数绕过和session验证绕过
giun的博客
04-18 2815
一、shal()函数绕过 <?php $flag = "flag"; if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '<p>Your password can not be your name!...
WgpSec(狼组安全) CTF PHPCode题目记录
e6678的博客
03-23 1537
PHPCode strcmp 题目描述 <?php include("flag.php"); highlight_file(__FILE__); if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag:
MD5碰撞
热门推荐
qq_64201116的博客
08-23 1万+
CTF中可以说是经常碰到md5加密了,一般都是进行强比较抑或是弱比较,考法非常多,但是万变不离其中。只要我们掌握了原理,一切问题便迎刃而解了。文章首发于我的博客,格式可能比较清晰,有兴趣了解CTF中MD5碰撞的伙伴可以移步查看。
网络攻防技术——MD5碰撞实验
wion03的博客
09-28 2318
md5collgen原理如下图所示如果MD5(M) = MD5(N),也就是说,MD5哈希的M和N是相同的,那么对于任何输入T,MD5(M || T)= MD5(N || T),其中||表示连接。md5collgen可以生成两个128字节的MD5哈希值相同但内容不同的字节分组,假设为P和Q。并且将P和Q分别连接在一个前缀文件之后(前缀文件的长度一定要是64字节的倍数),那么就可以得到两个内容不同但MD5哈希值相同的文件,其中内容不同体现在最后128个字节中。
[网络安全自学篇] 四.实验CTF实战之WEB渗透和隐写术解密
Azreal的博客
07-02 1859
本篇文章分享实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官! 一.WEB之这是什么 题目地址: http://www.shiyanbar.com/ctf/56 解题链接: http://ctf5.shiyanbar.com/DUTCTF/1.html 题目描述: 打开链接如下图所示,确实是什么鬼东西。
CTF题库-实验吧(密码学)之综合篇
qq_37992321的博客
12-02 3832
版权声明:如果对大家有帮助,大家可以自行转载的。原文链接: 1.CTF比赛常用在线转码网站: ASCII 在线转换器:http://www.ab126.com/goju/1711.html 各种密码加密与解密:http://www.zjslove.com/3.decode/ 在线加密解密 encode &amp;amp;amp; decode:http://encode.chahuo.com/ MD5:https...
md5碰撞
m0_75178803的博客
10-28 456
md5算法具有压缩性、容易计算、抗修改性和强抗碰撞的特点。并不是给一个md5加密后的密文,就能算出一个原文来。从密文推算出明文理论上是不可能的,所以并不能通过 MD5 的散列值逆向推算出明文。即给定 Hash 值,不能逆向计算出 M其中 M 指密码的明文,Hash 表示密码散列后的密文。即给定消息 M1,能够计算获取 M2,使得 M2 产生的散列值与 M1 产生的散列值相同。但是m1和m2却是两个不同的值。如此,MD5 的抗碰撞性就已经不满足了,使得 MD5 不再是安全的散列算法。
使用md5collgen进行MD5碰撞实验
hxhabcd123的博客
05-06 2284
本文记录使用md5collgen进行MD5碰撞试验的操作流程
【网络攻防技术】实验三——MD5碰撞实验
qq_45755706的博客
02-26 5231
一、实验要求 本次实验主要是加深大家对MD5碰撞及其原理的理解,使用SEED实验环境中的工具及编程语言,完成以下任务: a)使用md5collgen生成两个MD5值相同的文件,并利用bless十六进制编辑器查看输出的两个文件,描述你观察到的情况; b)参考Lab3_task2.c的代码,生成两个MD5值相同但输出不同的两个可执行文件。 c)参考Lab3_task3.c的代码,生成两个MD5值相同但代码行为不相同的可执行文件。 d)回答问题:通过上面的实验,请解释为什么可以做到不同行为的两个可执行文件具有相同
ctf-qsnctf此地无银三百
最新发布
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值