合天每周CTF之第二周-就差一把钥匙

最新推荐文章于 2022-11-14 17:18:19 发布
最新推荐文章于 2022-11-14 17:18:19 发布
阅读量632 收藏 3
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/j_x_yuan/article/details/108312508
版权

1.题目描述:

1)进入实验环境,照例查看页面源代码,未发现提示信息:

2)查看该页面的robots信息,得到提示:

3)进入该目录查看,发现新的提示,要求使用指定ip进行访问:

 

4)根据提示,联想到要利用IP地址欺骗X-Forwarded-For,浏览器设置代理,burpsuite拦截并进行改包,加入XFF请求头,找到flag:

 

xxhjtc
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf练习之就一把钥匙
SDM_JH的博客
08-06 1172
一、进入目标站点、查看源代码,没有什么发现 二、查看网站的robots.txt文件,发现存在/console路径 三、进入/console路径,查看源代码,没有发现 四、打开burp suite,设置代理,准备进行ip伪造 五、进行X-Forwarded-For伪造,发现408请求超时错误。 六、在试试X-Real-Ip伪造,同样是408错误。 七、试一下Client-Ip伪造,发现flag。 八、在多次尝试后发现,X-Forwarded-For伪造也可以获得flag。 九、那么为什么一开始使
合天每周CTF之第三周-迷了路
xxhjtc的博客
09-01 764
1.题目描述: 1)进入实验环境,查看页面源代码,未发现提示信息: 2)浏览器设置代理,burp suite拦截抓包,结合页面的国旗,猜想可能和HTTP请求头的accept-language有关: 3)根据页面各国国旗位置顺序,对应得出相应的accept-language代码: 美:en-us; 英:en-gb; 法:fr-FR; 德:de; 日:jp; 韩:kor; 西班牙:esp; 瑞典:sve; 4)进行改包尝试: 5)发现"flag{"字段,证明思路正确,.
BUUCTF:隐藏的钥匙
末初的CSDN博客
09-13 5849
题目地址:https://buuoj.cn/challenges#%E9%9A%90%E8%97%8F%E7%9A%84%E9%92%A5%E5%8C%99 使用010 editor打开,搜索文本即可得到flag >>> import base64 >>> base64.b64decode('Mzc3Y2JhZGRhMWVjYTJmMmY3M2QzNjI3Nzc4MWYwMGE=') b'377cbadda1eca2f2f73d36277781f00a' >&
合天网安 Weekly CTF 刷题合集
萌宅鹿的技术小屋
06-10 1892
Weekly CTF 第一周:神奇的磁带 第二周:就一把钥匙 第三周:迷了路 第四周:Check your source code
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用场景: ... 其他说明: ...
ctf-all-in-one
最新发布
01-30
ctf-all-in-one
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
flag寻找字符串的题目
10-16
有道题目,寻找flag字符串,格式不清楚,用notepad打开是乱码,用分析工具分析可能是cel文件,也可能不是,求各位大大分析下
合天 第四周 Check your source code
m0_52920608的博客
02-07 461
Check your source code 题目描述:目标机:Centos7 IP地址:10.1.1.147:5004 攻击机:Kali IP地址:随机分配 要求:获取目标flag 提示:flag格式为flag{} 1.登陆该网站(10.1.1.147:5004),查看源码: 2.代码注释这里发现了一个叫做source.txt的文件。我们打开这个文件看看。 3.试图理解这些代码,百度PHP: 1)isset():作用是检查变量是否设置,并且不为null,加个!,表示取反的意思。
合天网安 在线实验 CTF竞赛 writeup(第一周 | 神奇的磁带、第二周 | 就一把钥匙CTF-WEB小技俩、第三周 | 迷了路、第四周 | Check your source code)
ShenZ的博客
12-14 1115
文章目录第一周 | 神奇的磁带第二周 | 就一把钥匙CTF-WEB小技俩第三周 | 迷了路第四周 | Check your source code 第一周 | 神奇的磁带 提示在Cookie=cTEyMzQ1Njc4OTBwLi4= Base64解密后即是密码,登陆得到提示 回去输入Tape,得到第二个提示 访问http://10.1.1.147:5001/Flag-Win.txt 天王盖地虎-宝塔镇河妖-btzhy,重新提交,得到新的提示: 访问Flag-K0r4dji.php 源码中有提
合天每周CTF学习笔记 — 神奇的磁带
weixin_44350049的博客
10-22 968
思路 整体思路是借助提供的提示。 1、查看页面源码 根据实验指导书说明,首先访问攻击的网页,并查看源码。 2、查看源码中的提示 直接访问URL, 下载发现只是个假提示。。。 总结
CTF实战
2514804004的博客
11-14 246
webCTF实战
了解过去与理解现在的一把钥匙
孙继滨@程序世界
05-25 728
了解过去与理解现在的一把钥匙 /猛虎之心         这是一部值得反复研读的文明史。    一部有价值的文明史,对人对物对事件都应该给读者一种位置感,才能将历史讲得深入、生动,才能结合人们眼前的现实社会,找到历史与现实的联系,而不至于仅仅罗列一些历史事件。猛虎以为:《中国人的紧箍咒》就是这样一部文明史。        什么是位置感?什么是历史的位置感?有了《中国人的紧箍咒》,也许猛虎
神奇的磁带
bronze_s的博客
08-18 876
打开实验环境 审题这是一个web题,打开指导书 目标为10.1.1.147:5001,使用浏览器打开这个地址,可以看到一个web页面。 右键查看源代码,可以看到最后一行存在一个flag.txt文件
BUUCTF misc 专题(22)隐藏的钥匙
tt_npc的博客
11-14 984
又是一道关于路飞的题,下载后发现是一张和之前同样的图片 上次是在备注中找到了,这次肯定不可能在同样的地方找到了 我们把它放入winhex 使用搜索查找的功能,发现flag 发现这是base64加密,那么进行解密 结果包上flag就是 flag{377cbadda1eca2f2f73d36277781f00a} ...
隐写术总结
热门推荐
小勇的博客
06-12 1万+
隐写术总结 图种,只要将图片保存为zip压缩包格式,然后解压出来就可以了 jpg的结束符:FF D9 观察文件结束符之后的内容,查看是否附加的内容,正常图片都会是FF D9结尾的。还有一种方式来发现就是利用binwalk这个工具,在kali下自带的一个命令行工具。利用binwalk可以自动化的分析图片中附加的其他的文件,其原理就是检索匹配文件头,常用的一些文件头都可以被发现,然后利用偏移可以配合wi
ctf工具之binwalk--windows下(misc).rar
07-30
binwalk是一款用于分析和提取嵌入在二进制文件中的文件和数据的工具。对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解题目并解决问题。 在Windows下使用binwalk,我们首先需要在官方...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值