本文是一份使用K8飞刀进行CTF网络安全解题的教程,涵盖HTML查看、HTML实体、GET/POST提交、伪造IP、编码解码等10个题目。通过具体例子,讲解如何利用K8飞刀的HackerIE功能和编码解码模块解题,强调实战与CTF比赛的区别,并提供了工具下载链接。
前段时间有人和我说什么时候有空出些CTF用的工具,实际上CTF考查的内容,实战中用到的很多工具都可以使用,关键在于你懂不懂用。也看到有人搜索如何使用K8飞刀,在此以CTF题为例,教大家使用K8飞刀…
前段时间有人和我说什么时候有空出些CTF用的工具,实际上CTF考查的内容,实战中用到的很多工具都可以使用,关键在于你懂不懂用。也看到有人搜索如何使用K8飞刀,在此以CTF题为例,教大家如何使用K8飞刀的HackerIE功能(相当于Hackbar插件的高级版),以及编码解码功能的使用(模块涉及多种编码以及加密解密算法),除了实战会用到以外,CTF也可以用到,不过CTF中常见的应该是BASE64、HTML编码、SQL注入编码之类的,实战中密码除了MD5、SHA1以外最常见的莫过于BASE64了,XSS里HTML编码等也会经常用到,至于什么栅栏密码之类的实战几乎很少遇到,所以有些CTF出题和实战还是两回事,虽然说栅栏算法也非常简单,但从实战角度来说,考查用处不大,实战几乎不见的有必要考吗?如同书呆子考试靠死记硬背靠运气拿高分,拿了高分实际工作解决不了新问题,这种就是没用。
考查知识点
1.查看HTML代码
2.GET提交
3.POST提交
4.伪造IP
5.Base64解密
6.HTML实体解密
7.PUT/MOVE漏洞
8.URL编码
9.目录扫描
10.Cookie欺骗
题目1 HTML查看
网址: http://123.206.87.240:8002/web2/
分析:
直接访问会看到一堆表情,浏览器右键查看HTML代码即可,(但实战遇到屏蔽右键查看就无效)
解题:
K8飞刀–HackerIE–Get方式–网址web2–结果选"文本"–提交,即可看到注释中的Flag
PS:K8飞刀可以无视”网站屏蔽查看HTML代码“功能,现实这样的网页很多,很多CTF不考查,所以CTF和实战是有区别的。
题目2 HTML实体
网址: http://123.206.87.240:8002/web3/
分析:
直接访问会无限弹框,提示FLAG就在这里,所以这里我们选择"文本"模式查看,浏览器模式会无限弹框。
解题:
K8飞刀–HackerIE–Get方式–网址web3–结果选"文本"–提交,看到一串可疑的HTML实体字符串,
编码解码–粘贴加密的Flag–右键选中Flag–编码转换–XSS跨站–HTML实体(Dec),解密获取Falg
PS:有些CTF也会把HTML实体编码放在图片里面(记事本打开图片就能看到)
题目3 GET提交
网址:http://123.206.87.240:8002/get/
w h a t = what=
最低0.47元/天 解锁文章
5280
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
