自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

ChenZIDu的博客

相逢未必偶然,相遇即是有缘

  • 博客(8)
  • 资源 (1)
  • 收藏
  • 关注

原创 Bugkuweb:输入密码查看flag

web 基础爆破 点进去 抓包之前先输入一遍! 抓完之后右键转到 intruder,先按 Positions 注意 pass后面的数组要有那两个符号,表示变量;利用clear 和add按钮 然后转到 Payloads 讲Paylad type 调到Numbers 因为是5位数所以从10000开始到99999 step调成1 然后开始跑 当他的 Length 返回值与其他不同就是密码了。 ...

2019-04-13 14:47:50 931

原创 Bugku 网站被黑

后台扫描+爆破 进入网页看到一个画面 发现没什么内容,利用御剑工具进行后台扫描: 出来两个网址,点击下一个进入到一个网页 随机输入密码,发现不对,利用Burp抓包该网页, 进行爆破 点击这个添加一个passwords,点击右上角start attack 开始进行爆破。 首先要输入一次密码! 爆破结果hack,输入得到flag: ...

2019-04-13 14:40:30 566

原创 例题BUGku 多种方法解决

imgbase64(图片转换Base64) 下载是exe转换成TXT文件打开看到 辨认出来是 imgbase64 百度搜索图片转base64就行了 扫码得flag 注意!

2019-04-13 14:28:23 1234

原创 BUGku 账号被盗了

简单数据流分析 进去之后点击进入 文字说我们不是管理员 没什么提示,抓个包看看; 显示false,改成true ,然后repeater下试试看 发现出来个网页,打开后自动下载一个叫123.exe的文件 跟游戏有关的,利用wireshark分析一下; 注意! 如果是手机热点连的电脑就选wifi,如果是有线的就选以太网。我在这里卡了好久...

2019-04-13 14:23:39 2573

原创 例题 Bugku 隐写1:https://ctf.bugku.com/challenges

图片长宽高 下载解压后 1. 图片解压到桌面 利用winhex打开; 注意要以管理员身份运行; 2. 更改第二行第七个和第二行第三个一样; 使图片变成一个正方形; 改为F4 原图: 3. 更改保存后: 4. 获得flag 为什么改第二行呢: 按我学长的话说,第一行是文件格式,第二行前四位是宽,后四位是高。 ...

2019-04-09 20:42:26 1124

原创 Bugku 你从哪里来(web)

例题Bugku:你从哪里来(web) 首先点开链接:http://123.206.87.240:9009/from.php 显示这个画面,之后点开F12但是没有任何提示; 没有什么思路,抓个包; 得到如下: 百度题解有说到一个HTTP Refere 这个是用来告诉你点击这个是从哪个网页点到这个的; 这题文字问:我们是不是来自谷歌。 所以添加一行 得到flag; 解释下refer:HTTP ...

2019-04-08 16:11:30 812

原创 Bugku-flag在index里

本地文件包含漏洞+php伪协议的结合 注意到url地址 http://120.24.86.145:8005/post/index.php?file=show.php 点击后 这是一个典型的文件包含漏洞,(file关键字是提示,其实也是CTF的套路)。 这里用到了php的封装协议:http://php.net/manual/zh/wrappers.php.php 具体怎么用呢,先说结果: 加入...

2019-04-05 11:46:37 153

原创 Bugku-管理员系统(伪造IP题)

需要伪造本地IP: X-Forwarded-For: 127.0.0.1 伪造本地IP,获得flag 题目地址:http://123.206.31.85:1003/ 注意输入得账号密码必须正确! 按F12 查看网页源码 查过题解,绿色那一串是base64编码 解码之后获得:test64 管理员一般默认 账号是:admin、 输入账号密码; 弹出IP禁止访问;! 然后我们伪造本地IP; 先利用抓...

2019-04-05 11:40:37 978

JAVA——坦克大战.rar

坦克大战源码。

2019-09-27

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除