- 博客(12)
- 收藏
- 关注
RSS订阅原创 2024.03.31考核Web部分 writeup
后进入选择结构,判断un0变量不为空且un2为空,执行方法yigei(),输出变量un4,否则执行方法giao(),命令执行un2魔术方法__wakeup(),当反序列化恢复成对象时执行。会包含由变量un2与“hint.php”拼接后的文件,显示内容对POST传参变量data传值,并进行反序列化解题思路:(1)首先尝试查询提示文件,获得更多有用信息,这一步只需要给变量un2传入值,其他变量不需要。尝试直接序列化,无回显内容,后使用。
2024-03-31 23:25:13
701
1
原创 2024.03 Week4
考察点:binwalk使用、二维码原理、Python脚本编写给出一张图片:010分析无明显特征,拖入kali使用binwalk命令发现有Zlib文件,分离:可以看到一个包含01信息的文本文档,不知道什么意思,百度得知:长度为841,即29×29,很容易联想到是一个二维码,使用0和1代表像素点的颜色。结果得到一张二维码,扫描可得flag。
2024-03-25 18:12:04
976
原创 2024.03 Week2
考察点:PHP反序列化、正则匹配、弱比较分析:(1)wakeup方法首先,所以不能给成员变量a和b赋值数组,需要使用其他方法绕过下面的md5和sha1。(2)因为比较变量使用的是,则我们可以给a、b赋值同值不同类,例如a=1、b=‘1’,二者md5值和sha1值相同,可以通过检查。(3)变量content接受经过date日期格式化后的变量file。(4)uniqid()方法会生成一个唯一的文件名,并与后缀“.txt”拼接成变量uuid。
2024-03-24 20:04:05
732
1
原创 WEB练题(1)
通过搜索,得知md5万能密码:ffifdyop,输入密码后得到flag。在控制台输入命令:g1ve_flag(),可得到另一半flag。进入靶机网站后,按F12打开控制台,可见flag。
2023-03-04 21:11:56
230
原创 CTF练题(6)棋盘密码解密
在上表中寻找与明文字母对应的数字组合,组合中第一个数字为横坐标,第二个数字为纵坐标,两个数字共同定位明文字符。该题所使用的是小写字母加密类型,可根据上表使密文中的数字进行对应,从而解出明文。我要加密的字符串为 "
2022-11-03 23:49:41
2194
原创 CTF练题(5)word隐写基础题,jpg图片隐写,敲击码解密
对于此类题目,flag一般会藏在名为“word”的文件夹中,打开后显示几个xml格式文件,更多情况答案在“document.xml”中(大多数情况),打开即可获得答案。(1)图片拖入010Editor中分析,发现结尾有一段格式为rar的文件十六进制码,将这段十六进制码复制入新建十六进制文件中,以.rar的文件后缀保存到桌面中,打开获得一个txt文件。第一种为隐藏文字类型,获得一个可以打开的word文档后,在“选项”界面中点击“显示”,在显示出的界面勾选“隐藏文字”,点击确定,能观察到被出题人隐藏的字符。
2022-11-02 23:53:28
6199
原创 CTF练题(3) jpg图片隐写 使用jphs05工具和stegslove
(1)根据题目提示,判断为图片隐写,“800度的眼镜”我理解为不同色通道下观看图片,由此打开stegslove分析该图片。(3)初步判断密文为base64型,使用解码工具进行解码,flag成功解出,解答完毕。可能这六个字为本题flag,尝试提交答案,结果正确。
2022-10-25 16:42:12
2870
3
原创 CTF练题(2) png图片修改宽高典型例题
print('\n\n',i,j,crc32) #0x 后的数字为十六进制中crc位置的代码(winhex左016,13-下一行的0)(1)根据题目提示(要是图片长一点该多好......),暗示图片宽高参数被修改,将图片拖进kali虚拟机中进行验证,发现图片为损坏状态,确定为宽高被修改类型。(2)此处我们可以使用python3进行crc32爆破,通过枚举的方式获得正确的图片宽高。黑色矩形框住的为该图片的crc码,蓝色的为宽高数据。此为修改后的原图隐藏部分,获得flag。
2022-10-24 19:27:17
6917
原创 CTF练题(1)
(3)刷题时注意提交flag的格式,不同的网站其题目flag的提交形式可能不同,需要额外注意,有些题目的全字母flag需要注意大小写(题目事先未说明大小写时,需要留个心眼,检验一下获得的flag是否正确)。由图可获得密钥为:“sterisma”,爆破手段目前未知,在后续的学习中会逐步掌握,并尝试使用python写出爆破脚本并进行运用。(1)由题可知,本题的密文为维吉尼亚密码,同时题目提示密钥长度为8,提及维吉尼亚密码原理。CTF萌新,尝试叙述解决题目的操作和思路,以加深对这些类型题目的印象和熟练程度。
2022-10-17 23:05:32
1153
原创 ctfshow网络迷踪题目《新手上路》解题过程
此时最右侧出现与题目提供的图片相符的内容,打开这张图片,查询更详细的信息。(5)由此,确定结果为“情人桥”,输入最终结果。(1)使用浏览器搜索词条:“中国沿海木制桥”。出现关键词条“情人桥”。
2022-10-15 17:01:37
515
原创 CTF简介和题目类型简介
该类题目重点考察选手对于二进制漏洞的挖掘和利用能力,其考点也通常在堆栈溢出,格式化漏洞,UAF,Double Free等常见的二进制漏洞上/选手需根据题目给出的二进制可执行文件进行逆向分析,找出其中的漏洞并进行利用,编写对应的漏洞攻击脚本,进而对主办方给出的远程服务器进行攻击并获取flag。CTF作为团队赛,通常以三人为限,要想在比赛中取得胜利,就要求团队中每个人在各种类别的题目中至少精通一类,三人优势互补,取得团队的胜利。题目主要包括逆向,漏洞挖掘与利用,Web渗透,密码,取证,隐写,安全编程等类别。
2022-10-14 17:06:32
2515
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人