攻防世界
Just_Do_Eat
超越HelloWorld,进击HelloKitt!
展开
-
攻防世界WEB进阶之mfw
攻防世界WEB进阶之mfw第一步:分析第二步:实操第三步:答案难度系数: 1星题目来源: csaw-ctf-2016-quals题目描述:暂无第一步:分析题目没有介绍,打开之后看到网页,点击about页面看到如下:试着看是否能打开git代码库:成功打开说明存在代码泄露问题。第二步:实操使用https://github.com/lijiejie/GitHack工具进行:Pyt...原创 2019-07-29 09:00:44 · 630 阅读 · 0 评论 -
攻防世界MISC进阶之misc1
攻防世界MISC进阶之misc1第一步:分析第二步、实操第三步、实操第一步:分析难度系数: 3星题目来源: DDCTF-2018题目描述:d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1e6b3e3b9e4b3b7b7e2b6b1e4b2b6b9e2b1b1b3b3b7e6b3b3b0e3b9b...原创 2019-08-23 23:15:46 · 4885 阅读 · 1 评论 -
攻防世界MISC进阶之glance-50
攻防世界MISC进阶之glance-50第一步:描述第二步、实操第一步:描述难度系数: 2星题目来源: mma-ctf-2nd-2016题目描述:暂无题目场景: 暂无题目附件: 附件1首先我们通过下载附件,查看是一个帧数非常多的gif图片,但是像素都十分小,使用图片查看器看不出什么端倪。猜想将每一帧提取之后拼装。第二步、实操通过python编程实现将glance.gif分割成对应...原创 2019-08-20 17:10:40 · 3486 阅读 · 0 评论 -
攻防世界WEB进阶之ics-05
攻防世界WEB进阶之ics-051、描述2、实操3、答案1、描述难度系数: 3星题目来源: XCTF 4th-CyberEarth题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统题目场景: 点击获取在线场景题目附件: 暂无首先打开场景,进入系统设备维护中心,没有发现什么,查找到相关漏洞一个,查看源码:2、实操使用 http://111.198.29.45:449...原创 2019-08-24 17:06:28 · 2794 阅读 · 1 评论 -
攻防世界MISC进阶之What-is-this
攻防世界MISC进阶之What-is-this第一步:分析第二步:实操第三步:答案第一步:分析难度系数:2星题目来源: su-ctf-quals-2014题目描述:找到FLAG文件的描述可以忽略不计,直接下载附件,打开附件发现是gz格式的,想到可能会用到linux系统,先不管打开看看。打开一看,两层压缩文件,并且是两张长相差不多的图片,使用图片工具查看没有发现什么值得注意的东西。但是既...原创 2019-08-13 08:45:54 · 4826 阅读 · 1 评论 -
攻防世界MISC进阶之easycap
攻防世界MISC进阶之easycap第一步:分析第二步:实操第三步:答案第一步:分析难度系数: 2星题目来源: bsidessf-ctf-2017题目描述:你能从截取的数据包中得到flag吗?题目场景: 暂无题目附件: 附件1题给的信息是截取的数据包,在再结合附件的文件,我们知道需要使用数据流分析软件进行查看,第二步:实操使用winshark进行查看右键追踪TCP流第三步:答...原创 2019-08-16 22:45:41 · 3164 阅读 · 0 评论 -
攻防世界MISC进阶之4-2
攻防世界MISC进阶之4-2第一步、描述第二步、实操第三步、答案第一步、描述难度系数: 2星题目来源: WDCTF-2017题目描述:暂无题目场景: 暂无题目附件: 附件1直接上附件:Eg qnlyjtcnzydl z umaujejmjetg qeydsn eu z bsjdtx tw sgqtxegc al kdeqd mgeju tw yrzegjsoj zns nsyrzq...原创 2019-08-22 19:30:16 · 1700 阅读 · 2 评论 -
攻防世界WEB进阶之bug
攻防世界WEB进阶之bug1、描述2、实操3、答案1、描述难度系数: 2星题目来源: RCTF-2015题目描述:暂无题目场景: 点击获取在线场景题目附件: 暂无首先打开场景发现是一个登录页面,而且有注册界面,而且还有修改密码的选项,首先注册号账号后查看是否登陆进去能找到漏洞,未果。打开修改密码界面,尝试是否有逻辑漏洞,果然,将admin账号的密码成功修改为harry。2、实操...原创 2019-09-08 16:56:19 · 6451 阅读 · 1 评论 -
攻防世界WEB进阶之web2
攻防世界WEB进阶之bugweb21、描述2、实操3、答案1、描述难度系数:2星题目来源: NSCTF题目描述:解密题目场景: http://111.198.29.45:35597题目附件: 暂无2、实操<?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; functi...原创 2019-09-09 22:58:09 · 4322 阅读 · 0 评论 -
攻防世界WEB进阶之wtf.sh-150
攻防世界WEB进阶之wtf.sh-150一、描述二、实操三、答案一、描述难度系数: 4星题目来源: csaw-ctf-2016-quals题目描述:暂无题目场景: http://111.198.29.45:39563题目附件: 暂无二、实操首先构造路径穿越:http://111.198.29.45:39563/post.wtf?post=…/出现源码泄露,并且发现了对应的登录...原创 2019-09-11 20:32:50 · 2714 阅读 · 0 评论 -
攻防世界WEB进阶之lottery
攻防世界WEB进阶之lottery描述实操答案1、lottery1星难度系数:题目来源: XCTF 4th-QCTF-2018题目描述:暂无题目场景: 点击获取在线场景题目附件: 附件1描述首先查看附件里的内容首先通过下载附件的Rebots.txt里面看到有git,尝试是否存在git源码泄露问题,发现不存在(实际上我们已经通过附件拿到源码啦,这里只是思维的拓展。)。实操然...原创 2019-09-27 15:37:45 · 1295 阅读 · 0 评论 -
攻防世界WEB进阶之Training-WWW-Robots
攻防世界WEB进阶之Training-WWW-Robots一、思路二、实操三、答案难度系数: 1星题目来源: 暂无题目描述:暂无题目场景: 略题目附件: 暂无一、思路首先题目给出了Robots,name根据主题我们找到对应的文件,直接:http://IP:端口/robots.txt就能够访问,得到robots协议User-agent: *Disallow: /fl0g.php...原创 2019-09-29 10:28:04 · 2898 阅读 · 1 评论 -
攻防世界WEB进阶之FlatScience
攻防世界WEB进阶之FlatScience一、分析二、实操三、答案FlatScience难度系数: 1星题目来源: Hack.lu-2017题目描述:暂无题目场景: 略题目附件: 暂无一、分析点击打开场景,发现都是文件下载的内容,是几篇英文文献上一题有用到的robots.txt,构造一下http://IP:端口/robots.txt果然有重要内容:二、实操分别进入像个网站...原创 2019-09-30 15:07:12 · 5575 阅读 · 6 评论 -
攻防世界MISC进阶之Avatar
攻防世界MISC进阶之Avatar第一步:分析第二步:实操第三步:答案第一步:分析难度系数:2星题目来源: su-ctf-quals-2014题目描述:一个恐怖份子上传了这张照片到社交网络。里面藏了什么信息?文件下载之后,考虑过几种思路,首相是否存在隐藏文件,使用分解工具分解,未能成功。使用图片查看器查看,未能成功,在博客上找到了一个大佬的工具outguess。第二步:实操下载工具:...原创 2019-08-10 23:52:22 · 2079 阅读 · 0 评论 -
攻防世界MISC进阶之Test-flag-please-ignore
攻防世界MISC进阶之Training-Stegano-1第一步:分析第二步:实操第三步:答案第一步:分析难度系数: 1星题目来源: tinyctf-2014题目描述:暂无题目场景: 暂无题目附件: 附件1首先下载打开文件,看见不想什么编码格式,但是像16进制的数(包含cdef)666c61677b68656c6c6f5f776f726c647d第二步:实操试着使用16进制转字...原创 2019-08-14 22:19:08 · 3492 阅读 · 0 评论 -
攻防世界MISC进阶之Excaliflag
攻防世界MISC进阶之Excaliflag第一步:分析第二步:实操第三步:答案第一步:分析难度系数:1星题目来源: 3dsctf-2016题目描述:只有一个真正的黑客可以从这个地方得到flag。开始想着使用foremost隐藏文件分离工具试试,结果并没有发现什么可疑的地方。突然想到之前做过的类似的题目,使用stegsolve图片查看器能够看到图片的每一帧已经各种变换后的细节。第二步:...原创 2019-08-09 23:09:03 · 1315 阅读 · 0 评论 -
攻防世界WEB进阶之NaNNaNNaNNaN-Batman
攻防世界WEB进阶之NaNNaNNaNNaN-Batman第一步:分析第二步:实操第三步:答案难度系数: 1星题目来源: tinyctf-2014题目描述:暂无第一步:分析本题只有一个附件,下载之后为一个script语句,改成html后为一个输入框,我们能够猜测输入正确的内容可能会出现flag。第二步:实操进行代码审计工作,比较繁琐,直接观察发现有些乱码,但还是能发现规律,某些字符...原创 2019-07-29 23:36:30 · 1031 阅读 · 0 评论 -
攻防世界WEB进阶之upload
攻防世界WEB进阶之upload第一步:分析第二步:实操第三步:答案第一步:分析难度系数: 1星题目来源: RCTF-2015题目描述:暂无脑洞很大的一题,首先题目什么都没给出,进入场景,注册自己的账号,登录出现文件上传,上传很多文件都显示文件后缀不行,如实使用burpsuite的intruder功能,遍历众多文件列表,发现只有jpg文件可以上传,好吧,那就只上传它。第二步:实操接着...原创 2019-08-03 19:28:16 · 2688 阅读 · 0 评论 -
攻防世界WEB进阶之PHP2
攻防世界WEB进阶之PHP2第一步:分析第二步:实操第三步:答案难度系数: 1星题目来源: 暂无题目描述:暂无第一步:分析根据题目,没有给出任何信息,直接是一个场景,点击打开场景页面我们发现是一串文字:Can you anthenticate to this website?第二步:实操首先想到尝试index.php,未果。再尝试index.phps,成功发现了代码泄露。<?...原创 2019-07-31 14:06:26 · 6393 阅读 · 4 评论 -
攻防世界WEB进阶之isc-06
攻防世界WEB进阶之isc-06第一步:分析第二步:实操第三步:答案难度系数: 1星题目来源: XCTF 4th-CyberEarth题目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。第一步:分析首先打开对应的在线场景,因为题目给出的是报表中心收集了设备信息被删,但是留有一处入侵的痕迹。第二步:实操打开之后发现页面的page为id索引...原创 2019-07-26 17:00:00 · 1688 阅读 · 0 评论 -
攻防世界WEB进阶之unserialize3
攻防世界WEB进阶之unserialize3第一步:分析第二步:实操第三步:答案难度系数: 1星题目来源: 暂无题目描述:暂无第一步:分析题目仅仅给出了一个场景打开场景看到了如下内容:class xctf{public $flag = ‘111’;public function __wakeup(){exit(‘bad requests’);}?code=通过分析在浏览器地...原创 2019-08-01 00:38:06 · 1662 阅读 · 0 评论 -
攻防世界WEB进阶之Cat
攻防世界WEB进阶之Cat第一步:分析第二步:实操第三步:答案第一步:分析难度系数: 2星题目来源: XCTF 4th-WHCTF-2017题目描述:抓住那只猫首先题给出的信息抓住那只猫,没任何提示性,题目来源为XCTF,点击场景,打开为一个输入页面:提示输入域名,测试题给的域名loli.club,无任何响应,但是查询的内容出现在搜索框中为get请求,再测试127.0.0.1,巧了,返...原创 2019-08-05 13:12:59 · 8672 阅读 · 1 评论 -
攻防世界WEB进阶之NewsCenter
攻防世界WEB进阶之NewsCenter难度系数:题目来源: XCTF 4th-QCTF-2018题目描述:暂无第一步:描述本题题目没有描述,所以直接开启场景,映入眼帘的是一个搜索框,所以我们应该自然想到可能存在着sql注入等问题,首先使用bp进行抓取索搜索时候的包。第二步:操作抓包之后,将包的header方数据存储,使用sqlmap对其进行扫描,使用的是Python2 sqlm...原创 2019-07-28 15:18:47 · 3849 阅读 · 0 评论 -
攻防世界WEB进阶之isc-04
攻防世界WEB进阶之isc-04第一步:分析第二步:实操第三步:答案第一步:分析难度系数: 4星题目来源: XCTF 4th-CyberEarth题目描述:工控云管理系统新添加的登录和注册页面存在漏洞,请找出flag。题目页面是之前做过的,但是漏洞位置换了,在注册和登录页面,使用注册功能反复注册,返回的注册页面显示为普通用户注册,并且登录之后显示普通用户登录没什么用,猜想是否存在特殊的账...原创 2019-08-06 00:18:23 · 1815 阅读 · 1 评论 -
攻防世界WEB进阶之Triangle
攻防世界WEB进阶之Triangle第一步:分析第二步:实操第三步:答案第四步:参考,本文参考的博客是:第一步:分析难度系数:4星题目来源: Hack.lu-2017题目描述:暂无第二步:实操get_pw()XYzaSAAX_PBssisodjsal_sSUVWZYYYbfunction getARM1(){var x = stoh(atob(getBase64Image(“fr...原创 2019-08-06 22:24:40 · 1704 阅读 · 0 评论 -
攻防世界MISC进阶之签到题
攻防世界MISC进阶之签到题第一步:分析第二步:实操第三步:答案第一步:分析难度系数:1星题目来源: SSCTF-2017题目描述:SSCTF线上选举美男大赛开始了,泰迪拿着他的密码去解密了,提交花括号内内容(Z2dRQGdRMWZxaDBvaHRqcHRfc3d7Z2ZoZ3MjfQ==)首先看到这种格式的数据想到是base64加密,于是使用站长工具进行解密。第二步:实操http:...原创 2019-08-09 10:10:38 · 3762 阅读 · 3 评论 -
攻防世界MISC进阶之Training-Stegano-1
攻防世界MISC进阶之Training-Stegano-1第一步:分析第二步:实操第三步:答案第一步:分析难度系数: 1星题目来源: 暂无题目描述:这是我能想到的最基础的图片隐写术题目场景: 暂无题目附件: 附件1首先打开题目只有一个附件下载附件,我们看到照片的像素十分低,都无法用windows的编辑器编辑(小于50)。想到用notepad++看看,一团乱码第二步:实操又想到使...原创 2019-08-13 19:31:54 · 5243 阅读 · 0 评论 -
攻防世界MISC进阶之Get-the-key.txt
攻防世界MISC进阶之easycap第一步:分析第二步:实操第三步:答案第一步:分析8、Get-the-key.txt难度系数: 2星题目来源: SECCON-CTF-2014题目描述:暂无题目场景: 暂无题目附件: 附件1第二步:实操使用notepad++查看的效果能看到部分数据搜索不到flag对应的内容,放弃,改变各种编码,也无果,但是之前显示的一部分文件内容我们可以猜的是...原创 2019-08-19 09:43:02 · 1830 阅读 · 0 评论 -
攻防世界WEB进阶之upload1
攻防世界WEB进阶之upload1一、分析二、实操三、答案难度系数: 1星题目来源: 暂无题目描述:暂无题目场景: 略题目附件: 暂无一、分析首先打开场景,上传文件进行抓包操作,发现存在部分js代码。function check(){upfile = document.getElementById("upfile");submit = document.getElement...原创 2019-10-03 20:53:33 · 12457 阅读 · 7 评论