Boston Key Party CTF 2017: prudentialv2-50

最新推荐文章于 2022-10-13 20:19:54 发布
最新推荐文章于 2022-10-13 20:19:54 发布
阅读量1.2k 收藏
点赞数
分类专栏: php 文章标签: sha1 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/72849647
版权

参考:
https://github.com/bl4de/ctf/blob/master/2017/BostonKeyParty_2017/Prudentialv2/Prudentialv2_Cloud_50.md

2015

http://127.0.0.1/~caiqiqi/Boston_Key_Party_CTF_2017/prudentialv2-50/2015/?name[]=caiqiqi&password[]=qqc

这里写图片描述
源码:

<?php

$flag = 'Congratuations!';
if (isset($_GET['name']) and isset($_GET['password'])) {
    if ($_GET['name'] == $_GET['password'])
        print 'Your password can not be your name.';
    else if (sha1($_GET['name']) === sha1($_GET['password']))
      die('Flag: '.$flag);
    else
        print '<p class="alert">Invalid password.</p>';
} else{
    print 'Please input parameters in url';
}

?>

2017

http://127.0.0.1/~caiqiqi/Boston_Key_Party_CTF_2017/prudentialv2-50/2017/?name[]=caiqiqi&password[]=qqc

这里写图片描述
与2015相比,加入了string强制类型转换,必须构造两个不同的字符串但是sha1值相同。
参考:
http://blog.csdn.net/caiqiiqi/article/details/68953730
源码:

<?php

if (isset($_GET['name']) and isset($_GET['password'])) {
    $name = (string)$_GET['name'];
    $password = (string)$_GET['password'];

    if ($name == $password) {
        print 'Your password can not be your name.';
    } else if (sha1($name) === sha1($password)) {
      die('Flag: '.$flag);
    } else {
        print '<p class="alert">Invalid password.</p>';
    }
}

?>
caiqiiqi
关注
专栏目录
bosten key party 2017 memo writeup
jmp esp
07-27 1045
memo题目https://github.com/ctfs/write-ups-2017/tree/master/boston-key-party-2017/pwn/memo-300分析题目有些生硬,很多地方都不太能说通,不过就是练习一下,就当刷水题了。逻辑 setvbuf等基本操作,以及使用prctl设置了no new privs,所以无法新建进程 输入用户密码,密码可以不写,全局变量name和p
boston-key-party-2016-pwn-simple_calc 题解
lifanxin的博客
02-18 496
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该样本来自2016年boston-key-party ctf的一道pwn题–simple_calc 检查样本信息:   只开启了NX保护,64位小端程序 漏洞定位 将样本拖入IDA进行分析时,会发现text段特别多,仔细分析后会发现很多函数都没有被使用,写完wp后,我猛然发现引用这么多看似无用的text段,其实是为了引用更多的gadget,方便后面ROP链的构造。好的,废话不多说,进行漏洞分析。 分析main函数,可以发现该样本是一个菜单题,先要
[BUUCTF-pwn] boston_key_party_2017_memo
weixin_52640415的博客
01-13 247
libc2.23,PIE未开,prctl禁用exec,有写溢出,ORW
Boston Key Party 2015 Heath Street 题解(Writeup)
04-30 183
Heath Street是Boston Key Party 2015的一道数字取证题目,我们得到了一个叫做“secretArchive.6303dd5dbddb15ca9c4307d0291f77f4”的文件,目标显然是将包含flag的文件恢复过来。 识别 首先我们使用file来确定文件类型 1 wiremask:~$filesecretArchi...
2016 Boston Key Party CTF bobs-hat RSA-attack
ACdream
05-19 358
知识点:Fermat分解首先使用openssl:openssl rsa -text -modulus -pubin &lt; almost_almost_almost_almost_there.pub得到第一关的n和e(这里也可以yafu.exe)然后使用Fermat分解,得到p和q,求得明文(即压缩包的密码)def isqrt(n): x = n y = (x + n // x) // ...
2015 Boston Key Party
weixin_34033624的博客
03-02 144
特别声明:本文部分内容转自FreeBuf***与极客(FreeBuf.COM)北美最具影响力的在线CTF比赛Boston Key Party于2月28日上午6点拉开战幕。有283个unit(个人/队伍)参赛报名。BostonKey Party 参与方法:去http://bostonkey.party/home这个网页链接注册,然后点击最上方"challenges"会出现一副波...
【Writeup】Boston Key Party CTF 2015(部分题目)
企鹅学coding~
03-05 1万+
假期试着做了一下这场美国的CTF比赛,无奈题目看了一遍都没什么想法,只好等比赛结束再学习了。在这里总结一下通过此次比赛学到的姿势。 以下是六道php代码审计题目。 1.Prudential   I don‘t think that sha1 is broken. Prove me wrong. 代码如下: level1 <?php require 'flag.p
【安卓逆向】CTF实战分析(什么是CTF,我们一起来看看)
BL9794的博客
01-14 1774
既然这篇文章提到了CTF 我就先来科普一下 What is CTF??? 赛事介绍: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。 赛事起...
关于ctf大赛
最新发布
qq_74223054的博客
10-13 1385
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。 一.CTF的起源发展 CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。 二.CTF竞赛模式具
【安卓逆向】CTF实战分析
YJJYXM的博客
12-24 1106
安卓逆向学习交流群:692903341 既然这篇文章提到了CTF 我就先来科普一下 What is CTF??? 赛事介绍: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们...
2016 Boston Key Party CTF hmac-crc
ACdream
05-20 433
这种做法应该算是:选择密钥攻击http://mslc.ctf.su/wp/boston-key-party-ctf-2016-hmac-crc-crypto-5pts/HMAC–CRC(m,k)=(qm(x)⊕rm(x)k(x))modP(x),根据这个式子,当m不变时,qm(x)和rm(x)不变令k(x)=0,则有:HMAC–CRC(m,0) = (qm(x))modP(x),令k(x)=1,则...
Boston Key Party CTF 2014 Crypto : 200
JDI的专栏
03-06 1442
Xorxes the Hash Crypto : 200 Xorxes is a hash collision challenge. The goal is to find a second preimage for the input string "Klaatubaradanikto". Submit it as the flag. UPDATE: It has been pointed o
rsa-buffet
m0_57291352的博客
11-01 324
rsa-buffet boston-key-party-2017 encrypt.py import random from Crypto.Cipher import AES,PKCS1_OAEP from Crypto.PublicKey import RSA def get_rand_bytes(length): return "".join([chr(random.randrange(256)) for i in range(length)]) def encrypt(public_key,
529. Minesweeper
weixin_30786657的博客
07-19 118
class Solution { unordered_set<string> visited; inline string hash(int r, int c) { return to_string(r) + "#" + to_string(c); } void check(ve...
Secure Multi-party Computation
cnbird's blog
08-04 2031
https://en.wikipedia.org/wiki/Secure_multi-party_computation
CTF比赛中关于zip的总结
公众号shadow sock7
06-10 3979
参考:http://bobao.360.cn/ctf/detail/203.html图片中隐藏压缩包这种方法大概是zip中最常见的,多用于在一张图片中隐藏一个压缩包,这种方法的原理是:以jpg格式的图片为例,一个完整的 JPG 文件由 FF D8 开头,FF D9结尾,图片浏览器会忽略 FF D9 以后的内容,因此可以在 JPG 文件中加入其他文件。如:➜ ~/Sites/wwwroot hex
Boston Key Party CTF 2014 Crypto 200
JDI的专栏
03-06 1105
MITM II: Electric BoogalooCrypto : 200 Chisa and Arisu are trying to tell each other two halves of a very important secret! They think they're safe, because they know how cryptography works---but can
CTF中文件包含漏洞总结
热门推荐
Lethe's Blog
02-13 5万+
CTF中文件包含漏洞总结 0x01 什么是文件包含漏洞 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 0x02 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否...
CTF线下攻防赛总结
Sp4rkW的博客
10-01 3万+
原文链接:http://rcoil.me/2017/06/CTF%E7%BA%BF%E4%B8%8B%E8%B5%9B%E6%80%BB%E7%BB%93/ 作者:Rcoll 总结的非常好,转载收藏,感谢表哥的分享~ 一张常规的CTF线下攻防思维导图 SSH登陆 两三个人进行分工,一个粗略的看下web,有登陆口的话,就需要修改密码,将情况反馈给队友,让登陆ssh的小伙伴进行密码的修改...
CTF挑战:WP1-ctfshow解题攻略
这篇文章主要介绍了CTF(Capture The Flag)比赛中的若干种解题技巧,特别是针对网络安全和Web安全领域的一些基本技术。CTF比赛通常涉及网络安全、逆向工程、密码学等多个领域,而这里的讨论集中在Web渗透测试上。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值