- 博客(51)
- 收藏
- 关注
原创 buuctf-web
flag{92162e0f-7deb-4c03-91da-695e4f6c42b8}'为flag。sql注入,基本语句。显示不完全,复制得到。
2024-07-15 20:08:18
164
1
原创 buuctf-web
得到php文件,127.0.0.1 | ls /返回上级目录。得到网页目录,再输入127.0.0.1|ls查找下一级。127.0.0.1 | cat /flag得到flag。先输入127.0.0.1查找本地。
2024-07-15 19:09:15
225
原创 buuctf-web
万能密码:1 and 1=1(数字型) 或1' and '1'='1(字符型)或 1 or 1=1(数字型) 或 1 or '1'='1(字符型)
2024-07-15 14:24:51
187
原创 bugku-math&English
参照表中字母和前面解出的对应数字,得到flag=yuanyinpwd,按格式提交解出题目答案。发现答案全都是1-5的数字,联想到英语中的元音密码解码字典。拿到题目得到一串数学题,解出答案得。
2024-05-06 20:08:24
236
原创 bugku-cryton 把猪困在猪圈里
打开题目得到一串字符,发现最后有等号,尝试buase64解码,发现文字解码不行,试试图片解码。解码得到一串图片密文,根据经验是猪圈密码,查找相关表格对应。一一对应得到flag{thisispigpassword}
2024-04-16 19:59:53
151
原创 bugku-misc 啊哒
文件结尾看到50 4B,是压缩包形式并且看到flag.txt。想到一开始图片属性里的加密字符,解密得到密码。应该是加密字符,用010打开图片查看源码。kali用foremost尝试分离图片。得到zip文件,打开显示需要密码。尝试查看属性看到照相机型号。拿到题目得到一张图片。
2024-04-07 20:13:04
185
原创 bugku-简单套娃
所以想到文件分离,试着把第一个FF D8 FF的文件删掉,剩下的另存为一张图片。看到端倪,有两个jpg文件头FF D8 FF。打开图片,得到图片右上角有隐含的flag。首先查看一下属性,没有找到有用信息。试试用010editor打开。
2024-03-26 19:44:14
167
原创 bugku-misc telnet
得到flag{d316759c281bf925d600be698a4973d5}解压压缩包,得到telnet文件,查看结尾是pcap,另一种方法,用010打开直接搜索flag得到答案。
2024-03-13 17:58:46
350
原创 bugku-misc 眼见非实
看到文件头504b0304为压缩包的文件头。解压得到文件,用010打开。查找一下,flag在这里。尝试改文件后缀zip。解压缩得到几个文件夹。
2024-03-10 20:10:50
326
原创 bugku-misc隐写
看到图片宽高不一致,猜测可能需要改变图片长度或者宽度。第二行第一个为宽,第二个为高,A4改为F4。试着把图片变大,十进制500转16进制。没看到信息,试着查看图片属性。下载文件,解压得到图片。
2024-03-08 21:39:48
379
原创 2023年漏洞挖掘与防范竞赛misc-file(1)
原本想二进制解码,结果发现不对,尝试一下摩斯密码解码,得到flag。看到一串代码,尝试base64解码得到一串二进制字符。得到flag{mosi1sfun}
2024-03-05 19:55:35
333
原创 bugku-crypto-/.-
网上搜索一个摩斯密码解码器,把内容输入进去,解开密码得到flag。得到flag{d3fcbf17f9399504}打开题目,可以看到一串字符,初步分析为摩斯密码。尝试直接填进去答案发现不对,考虑字母小写去空格。
2024-03-05 13:23:41
370
原创 CSS行内样式
title>css样式</title> <!--源代码和此处指定的编码必须一致,否则浏览器中会显示乱码 元信息-->--文档内容666木头人 <!--网页的内容标签都在这里,尖号内的是注释,页面内看不到-->经历风雨才能见到彩虹。
2024-02-29 20:33:25
521
原创 HTML-img图片
img src="https://www.baidu.com/.......> 图片路径,通过http协议,显示图片。<img src="../img/1.jpg"> 上一级目录下的img文件夹中的图片。<img src="img/1.jpg"> 当前目录img文件夹中的图片。<img src="D:\\img\\1.jpg"> 通过绝对路径显示图片。通过base64格式的内容显示图片。
2024-01-21 16:54:57
356
原创 HTML-video标签
手机端和pc端已经开始淘汰flash,网页中的音频、视频逐渐都会使用HTML标签来播放,而非使用flash。您的浏览器不支持HTML5 video 标签。
2024-01-06 13:42:28
344
原创 区块链技术概要
区块链技术概念:区块链是分布式共识、加密算法、对等网络、分布式数据存储等计算机技术的综合创新应用,其核心优势是去中心化,能够通过加密算法、分布式共识机制以及经济奖励激励模型,使参与的各个节点在无需彼此信任的前提下通信和协作,从而为中心化结构存在的单点故障、高成本、数据存储不可信等问题提供了新的解决方案。发展:区块链技术最初只是数字交易体系的核心支撑,而今日已经扩展到金融、贸易、医疗、娱乐等各个领域。时代背景:在比特币的发展和普及下,区块链技术的研究和应用也得到了广泛的关注。
2024-01-05 14:39:56
482
1
原创 html新建标签
title>文档标题</tit1e> <!--源代码和此处指定的编码必须一致,否则浏览器中会显示乱码 元信息-->文档内容666木头人 <!--网页的内容标签都在这里,尖号内的是注释,页面内看不到-->2.新建记事本,用notepad++形式打开,编辑代码注意编码使用UTF-8。然后保存,改文本后缀名,txt改为html。浏览器打开可显示文本内容。3.语言改为html。
2024-01-01 18:25:36
399
原创 bugku web-矛盾
这看起来很矛盾,不过我们知道,==是一种弱类型比较,如果发现两边的类型不同,则首先转换为相同类型再比较,而将字符串转换为数字的方式是取字符串前缀出现的数字,前缀没有数字则为0。由题目分析得num既需要满足!is_numeric(),又需要==1。于是我们可以在网址目录加上/?num=1n,就是把num设为1n。这样就可以得到flag。
2024-01-01 14:50:46
329
原创 Flask_FileUploa
说明是白名单,拦断绕过,上传python脚本,查看根目录。再改一下MIME信息还是失败,所以可能是白名单过滤。3.改文件后缀名,发现不行。2.burpsuit抓包。查看源码用cat命令打开。
2023-12-29 10:02:50
374
1
原创 ctfshow web入门21
可以解除账号密码分别为admin,shark63。推测可能需要burpsuite爆破。打开题目,发现需要输入账号密码。burpsuite拦截一下。输入即可得到flag。
2023-11-22 20:22:41
30
原创 ctfshow web5
页面中展示了部分源代码,从源码中我们可以得知,想要夺旗需要通过GET请求传递两个参数v1和v2,并且参数v1必须是纯字母字符串,参数v2必须是数字或者数字字符串,并且两个参数的md5值必须相等。is_numeric()函数用于检测变量是否为数字或数字字符串,是则返回true,否则返回false。ctype_alpha()函数用于检测字符串中是否仅包含字母,是则返回true,否则返回false。这里我们可以使用MD5的0e绕过方式,输入一下payload。
2023-11-19 19:35:25
28
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人