CG-CTF——WEB
工具:
①Winhex:图片隐写工具,可通过搜索“ctf”“CTF”“key”“flag”等关键字得到flag。
②在线工具HtmlEncode/BASE64转换:注意源代码里奇怪的字符串,可以尝试解码(分清类型)。
③BurpSuite:抓包工具,这个很好用。
④Wireshark:抓包工具。使用说明
WEB
- 1、签到题
题目地址
直接F12查看源代码就可以得到flag。
- 2、md5 collision
题目地址
先简单学习一下md5()加密解密。
再来看题。题目中的collision是冲突的意思,猜测可能是前后条件矛盾。
只有当$a != 'QNKCDZO' && $md51 == $md52
的时候才会回写flag。但是这是矛盾的。
if ($a != 'QNKCDZO' && $md51 == $md52)
echo "nctf{*****************}";
这个题目利用了php弱类型。比如在==判等时,0exxxxx=0xsfdsf=0。而在源代码中给出的 ‘QNKCDZO’ 的md5就是0e开头,使用a传输一个md5也是以0e开头的即可。
***参考: