网络信息安全攻防学习平台(基础关)

最新推荐文章于 2023-03-23 10:50:26 发布
最新推荐文章于 2023-03-23 10:50:26 发布
阅读量1.8k 收藏 16
点赞数 7
分类专栏: CTF实战 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62670778/article/details/126632077
版权

 目录

key在哪里?

再加密一次你就得到key啦~

猜猜这是经过了多少次加密?

据说MD5加密很安全,真的是么?

种族歧视

HAHA浏览器

key究竟在哪里呢?

​编辑key又找不到了

冒充登陆用户

比较数字大小

本地的诱惑

就不让你访问 

key在哪里?

1.点进去通关链接,网页里面只有一句话“key就在这里中,你能找到他吗?”

2.查看网页源代码

3.里面有一句被注释掉了,就是我们需要的key

再加密一次你就得到key啦~

1.根据题目提示得到只要对密文在进行一次加密就可以得到key了

2.由于不知道要加密的类型只好一个一个的去尝试了

3.最后发现是rot13的加密方式,可以看到密文通过rot13加密后出现了keyis...这样的提示

 

 猜猜这是经过了多少次加密?

1.根据题目的意思需要对题目提供的密文进行不断的解密才能够得到key

2.根据密文最后的等于号,猜测可能是base64加密

3.开始进行解密 

4.最后得到了key

 据说MD5加密很安全,真的是么?

1.根据题目提示可能是md5加密

2.对密文进行md5解密

3.解密出来的结果就是key 

种族歧视

1.进入链接,发现里面只有一句话“only for Foreigner” 

2.查看一下网页源代码,并没有发现key

3.尝试抓包

4.可以利用里面Accept-Language这个参数,把 “zh-CN,zh;”去掉,只留下“q=0.9,en-US;q=0.8,en;q=0.7”

5.点击forward

6.网页上立马出现了key 

HAHA浏览器

1.点开链接,只给出一句话“只允许使用HAHA浏览器,请下载HAHA浏览器访问!”

2.说明了需要修改浏览器的agent

3.我使用的是burpsuit抓包工具进行修改

>>首先抓包

>>抓到的数据包里面有一个User-Agent的参数,我们需要的就是修改里面的参数

>>将Firefox修改成HAHA

>>修改成功后点击 forward,就可以看到网页出现了key

 key究竟在哪里呢?

1.点进去链接,里面只有一句话“Key就在这里,猜猜这里是哪里呢?(Web找key加强版)”

2.查看网页源代码,没有发现key

3.进入开发者模式尝试寻找key

4.最终在标头里面找到了key 

key又找不到了

1.点击 题目链接,发现题目里面还有一个链接,上面写着“到这里找key”

 2.点击进入链接,上面写着“key is not here!” 

3. 查看两个页面的源代码,都没有发现key

4.按F12进入开发者模式查看,仔细检查表头及请求字符串,并发现并没有可以着手的地方,包括请求和响应各种尝试都无解。

5.使用抓包工具进行抓包

>>首先尝试使用burpsuit抓包工具

>>将抓到的数据包发送到repeat模块查看响应

>>点击send查看响应 

>>看到一个很像key的地方,尝试进入“./search_key.php”这个路径下

>>发现无法进入,总是会跳到另外一个路径

>>再次使用burpsuit抓包工具对该路径进行抓包

>>将抓到的数据包发送到repeat模块查看响应

>>点击send查看响应 

 >>又得到了一个路径

 >>进入该路径下进行查看,找到key

其他方法

>>可以使用另外一个抓包工具尝试抓包(wireshark) 

>>先在网页上进入开发者模式,查看ip地址(用于在wireshark中作筛选

>>这里使用到的是 Edge浏览器进行查看,(火狐浏览器我没有找到IP地址,谷歌浏览器我的不知道为什么没有得到响应)

>>也可以使用burpsuit进行抓包查看IP地址

 >>开启wireshark抓包

>> 先筛选我们需要的包

>>在服务器发来的信息中有一条显示302 Found中找到了key的提示
302 Found: HTTP协议中的一个状态码(Status Code)。 可以简单的理解为该资源原本确实存在,但已经被临时改变了位置)

 >>最终得到了正确的地址找到了key

>>还可以使用另外一种抓包工具进行抓包(Fiddler) 

>>用这个工具可以更快的找到关于key的提示 

冒充登陆用户

1.点击进入题目,得到提示“必须要登陆才能得到key” 

2.查看网页源代码没有得到key

3.进入开发者模式看到了cookie参数里面看到“Login=0”,由此可知这是一个突破口

3.使用抓包(burpsuit)修改login值

 >>将Login值改为1,点击forward

>>便得到了key

比较数字大小

1.开始提示要比服务器上的数字大,点击进入题目,里面有一个输入框

 2.尝试输入一个数字 999,提示数字太小了,同时发现这个输入框只能输入三位数的数字

 3.进入开发者模式,将maxlength的值改成10 (由于不知道服务器上的数字使用值尽量大)

>>在输入框中输入“9999999999”后点击提交,得到key

 本地的诱惑

1.点击进入题目,给出提示“必须从本地访问!”

 2.查看源代码,一下子就看到了key

3.应该是题目出现了问题 

就不让你访问 

1.点击进入题目,得到一句提示“I am index.php , I am not the admin page ,key is in admin page.” 

>>尝试进入admin.php进行查看

>>并没有找到 

2.查看网页源代码没有得到什么

3.进入开发者模式也没有得到什么

4.使用burpsuit抓包

 >>查看数据包没有得到什么有用的信息

>>将抓到的数据包发送到repeat模块查看响应

 >>点击send查看响应 ,也没有得到有用的信息 

5.看是否可以进入查看robots.txt

>>发现可以进入

>>发现有一个不允许访问的地址,进入访问

 >>访问过后得到新的提示

 >>尝试继续访问login.php

>> 得到flag

月亮今天也很亮
关注
  • 7
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全基础+网络攻防、协议与安全.pdf
06-27
本书从网络攻防、协议与安全解决方案的角度阐述网络安全,把网络看成安全与不安全的源头。全书共分为四部分,第一部分讨论网络概念与威胁的入门知识,分别介绍了网络体系结构、网络协议、互联网和网络漏洞的分类;第二部分讨论低层网络安全,包括物理网络层概述、网络层协议和传输层协议;第三部分讨论应用层安全,包括应用层概述、邮件、Web安全和远程访问安全;第四部分基于网络防范,介绍了常用的网络安全设备。
网络信息安全攻防学习平台CTF练习-基础
weixin_49349476的博客
05-11 2013
网络信息安全攻防学习平台 :http://hackinglab.cn/main.php。
基于云计算技术的网络安全攻防实验平台设计与研究
01-26
针对现代创建计算机网络安全攻防实验平台的成本太高,并且严重影响了实际的实验环境,使整个安全攻防演练过于形式等一系列的问题,导致目前的教学效果不理想。基于此,通过虚拟机及虚拟管理技术,研究并且设计了基于云计算技术的网络攻防实验平台。实际教学应用表示,基于云计算技术的网络安全攻防实验平台不会对实际网络环境造成太大的影响,并且其实验成本较低,教学过程中的各种网络攻防实验测试都能够在此平台中实现,降低了实验平台的管理难度,具有良好的使用效果,便于应用网络安全攻防实验平台的高校及社会企业。
python网络安全攻防平台项目
最新发布
04-13
Python == 2.7 Django == 1.9 xadmin 使用GitHub上源码安装 其他第三方包 使用pip安装
网络安全实验室之基础
qq_51768842的博客
07-03 2078
网络安全实验室平台基础
网络信息安全攻防学习平台基础
MVP_com的博客
09-09 5522
游戏地址:http://hackinglab.cn/index.php 网络信息安全攻防学习平台基础
HTTPS加密原理
破晓的成长之路
06-14 438
对称加密 1.第一次传输对称密钥为明文传输,不安全。 2.密钥存储问题。 对称密钥的问题主要在于:在第一次传输密钥时,这个密钥怎么让传输的双方知晓,同时不被别人知道。 如果由服务器生成一个密钥并传输给浏览器,那这个传输过程中密钥被别人劫持弄到手了怎么办?之后他就能用密钥解开双方传输的任何内容了,所以这么做当然不行。 非对称加密 有两把密钥,通常一把叫做公钥、一把叫做私钥,用公钥加密的内容必须用私钥才能解开,同样,私钥加密的内容只有公钥能解开。 服务器先把公钥直接明文传输给浏...
hackinglab习题解析
xuanyulevel6的博客
07-30 5498
hackinglab基础+脚本【详解】
基础7
weixin_34194087的博客
05-30 157
题目描述:key究竟在哪里呢? 分值: 200 上一次小明同学轻松找到了key,感觉这么简单的题目多无聊,于是有了找key的加强版,那么key这次会藏在哪里呢? OK,第一步打开通地址。 看到提示:Key就在这里,猜猜这里是哪里呢?(Web找key加强版) 行吧,没啥用,,,老规矩,打开F12看看先 然后出现下图: 出现...
CTF-网络信息安全攻防学习平台(注入)
丶没胡子的猫
07-07 2756
注入第一第二第三 题库地址:http://hackinglab.cn 第一 题目:         最简单的SQL注入         分值: 100         Tips题目里有简单提示 Writeup: 像看到SQL注入题,还是登陆框,就可以先试试
信息网络攻防技术-网络安全.ppt
03-01
信息网络攻防技术-网络安全.ppt
爬取带key的ts视频网站
qq_36016668的博客
04-14 8383
朋友在某网站学习,每次都要打开网页,想保存在本地播放,却没有下载方式。于是找我试试能不能下载下来。 1.分析一下网页,打开,按下F12,获取相信息。 2.视频信息一般保存在m3u8文件中,因此直接搜索查找。 3.观察m3u8文件发现,ts文件为aes-128加密,key的获取方法就是直接从url获取。 4.从文件中提取出来url信息后,获取key值,将key转换为十六进制,尝试解密,发现成功。那么此种方法可行,只需要将m3u8中的ts链接获取,根据秘钥一个一个解密就可以了。 5.ts文件爬取完成后,在d
单点登录
随风而欲的博客
12-18 690
授权中心的主要职责: 用户鉴权: 接收用户的登录请求,通过用户中心的接口进行校验,通过后生成JWT 使用私钥生成JWT并返回 因为是微服务,所以每个功能都是一个服务。 在这里在auth里面,创一个common(这里放一些工具类),一个service 工具类: 编写JWT工具 理论介绍:http://blog.damonare.cn/2017/12/31/RSA算法详解/#more ...
Redis(key-value)数据库
Jin的随手笔记
03-23 1245
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
网络安全实验室-基础1-12
hzxtjx的博客
07-08 1929
进入过地址后按F12 复制数据使用凯撒加密 加密网址:https://www.qqxiuzi.cn/bianma/kaisamima.php 猜测flag格式是key is XXX,而从x后面开始计算第十三个字母为k,r也是第十三个字母为e,l第十三个字母为y,所以移位13位 观察加密后的字符串,最后是一个=,猜测是base64加密 base64的一些特征: 1.密文中会出现“=”等号。 2.有64个可见字符。 3.代码中含有0xF、0x3F、0x3等符号 复制字符串到base64的解密网站:https:
攻防世界逆向高手题的key
沐一 · 林 的博客
09-22 735
攻防世界逆向高手题之key 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的key . . (这里积累第一个经验) 这道题,嗯~搞了好久,主要是我的IDA是7.5版本的,其他博客上的大多都是7.0或以前的版本,导致很多伪代码的变量名和函数表象对不上,然后这题的直接读取文件也算是长一次见识了。这题逆向逻辑不难,就是找到键位置我卡了好久好久,一直在梳理各种残缺信息。然后就是要懂得熟悉OD动态 调试来梳理程序逻辑和看复杂函数的输出才行。 . . 下载附件,照例扔入exeinfope中查看信息,32位无
攻防世界--key
weixin_30607659的博客
09-22 248
测试文件:https://adworld.xctf.org.cn/media/task/attachments/c6cf449ae4b7498eba5027c533386a40.exe 1.准备 获取信息: 32位文件 2.IDA打开 反汇编main函数 1 void sub_401100() 2 { 3 signed int ...
基础
qq_45728757的博客
12-02 334
key就在这里中,你能找到他吗? 用F12查看得到key 啦~ 加密之后的数据为xrlvf23xfqwsxsqf 再加密一次 ?rot13? 因为rot13的特性 再加密一次 即可得到明文 提示的很明显 使用rot13 在线加解密 猜猜这是经过了多少次加密? 分值: 200 有 “=”特征,所以base64加密用在线工具解密 一次 两次 三次 什么鬼 继续 n次后得到key 的是么? 分值: 20...
网络安全实验室|网络信息安全基础
wrypot的博客
05-18 1874
网络安全实验室|网络信息安全基础) 一、 key在哪里? 分值: 100 过地址 答:在火狐中开启代理,打开burpsuite,点击过地址进行抓包 抓到的包如下 右击发送给repiter,点击go就行了 二、 再加密一次你就得到key啦~ 分值: 150 加密之后的数据为xrlvf23xfqwsxsqf 答 利用凯撒解密,因为x后面的第十三个字母为k r后面的第十三个字母为e l后面的第十三个字母为y 即key钥匙,上网搜凯撒密码在线解密加密 位移的位置填13,即可 三、 Exp
python网络安全攻防
03-02
Python是一种功能强大的编程语言,它在网络安全攻防领域也有广泛的应用。下面是一些于Python网络安全攻防的介绍: 1. 网络扫描和漏洞利用:Python提供了许多库和工具,可以用于网络扫描和漏洞利用。例如,可以使用Python的socket库进行端口扫描,使用requests库进行Web应用程序漏洞测试,使用Scapy库进行网络数据包操作等。 2. 密码破解和暴力攻击:Python可以用于编写密码破解和暴力攻击脚本。通过编写自定义的脚本,可以使用Python的多线程或异步编程来提高破解速度。然而,请注意,未经授权的密码破解和暴力攻击是非法行为,严禁使用。 3. 恶意软件分析:Python在恶意软件分析方面也有广泛的应用。可以使用Python编写脚本来分析恶意软件的行为、提取恶意软件的特征、进行恶意软件样本分类等。常用的库包括pycrypto、pefile、yara等。 4. 数据包嗅探和篡改:Python可以用于编写网络嗅探和篡改工具。通过使用Python的库,如Scapy,可以捕获和分析网络数据包,实现网络流量监控、数据包篡改等功能。 5. Web应用程序安全:Python在Web应用程序安全方面也有很多应用。可以使用Python编写Web漏洞扫描器、Web应用程序防火墙、Web应用程序攻击模拟器等工具。常用的库包括requests、BeautifulSoup、Flask等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值