ctfshow-渔人杯复现(详解)

最新推荐文章于 2024-10-29 17:20:53 发布
最新推荐文章于 2024-10-29 17:20:53 发布
阅读量185 收藏
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63641882/article/details/134274168
版权
文章讲述了作者通过抓包工具观察到的动态旗标行为,使用Burpsuit的Intruder模块进行参数爆破,并利用Python的requests库进行自动化请求,同时提到SQL注入尝试失败,最终通过修改User-Agent找到隐藏的旗标。
摘要由CSDN通过智能技术生成

神仙姐姐

直接抓包查看发现每次都会访问:444189e4-44b1-499b-92af-af5a48b768ec.challenge.ctf.show

然后没访问一次就会增加一次拜数

所以联想到burpsuit的intruder模块

对num赋值进行爆破

 还有一种解法就是使用python的requests库  具体代码如下:  参考链接

import requests

url="http://019e2b1f-411a-48a1-848b-a106990358f7.challenge.ctf.show:8080/sx.php"
cookie={'PHPSESSID':'s8h4ik585fs9g4905brbs6qka4'}
print("开始访问")
for i in range(0,1000):
    print(i)
    r = requests.get(url,cookies=cookie)
    if("j0ke" in r.text):
        print("not flag")
    else:
        print(r.text)

阿拉丁 

一开始使用抓包也看不出来有个啥,借鉴了别的师傅的wp,一位一位的问,然后把flag拼起来就可以了

flag=ctfshow{a15b2830-dcf4-4344-99e5-350a561cbf89}

 第一眼以为是sql注入,然而发现并没有注入点

根据大佬提示直接访问/flag.......太坑了

是什么是太菜了.....

 飘啊飘

 根据题目提示 有手机就行 抓包修改User-Agent:Andorid 重定向的时候发现了mb.html

访问即可

回锅肉#
关注
渔人认证 H12-223.pdf
04-07
华为数通H12-223题库
CTFshow渔人赛---神仙姐姐
CyhDl666的博客
05-13 832
刚拿到题目时候,题目给了提示 磕首千遍,原本准备在控制台上搞些骚操作,没搞出来 反而发现每次拜后都会访问 http://746d7288-51da-47d2-aff5-d71db85daac0.challenge.ctf.show:8080/sx.php 没访问一次 就会加一次拜的次数 所以 怀疑可以burpsuit直接intruder模块 这里我没用burpsuit 而是自己编写了个脚本 密码学 数据结构 让我编的奔溃 我要敲代码 import requests url="http://01.
PHP+MySQL 原生SQL查询多条数据 (MySQLi - 面向对象)
工作遇到问题的归纳总结
09-25 2405
<?php $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDB"; // 创建连接 $conn = new mysqli($servername, $username, $password, $dbname); // Check connection if ...
渔人部分wp
记录学习,一起进步
05-01 644
渔人部分wp
ctfshow渔人2021 部分WP
mumuzi的博客
04-01 5626
python写的及其拉胯,所以请见谅(是真的拉胯) 解题用的方法都是笨方法,大家知道怎么做了之后可以找简单的方法 已解题:签到抽奖、神仙姐姐、飘啊飘、感受下气氛、我跟你拼了、套神应援团.png、贪吃蛇的秘密、简单二维码、misc41、亚当和夏娃 加上自己的两道题:你以为是easyRSA吗,其实是我套娃之神哒 、我想要获得旗帜 1.签到抽奖 得到flag 中文也可能是英文及其他小众语言字符 2.神仙姐姐 当然我不会写脚本,我是不会这样做的。。 首先打开burp,点击一下“拜” 发现会向sx.ph
ctfshow愚人-web-wp
qq_46570234的博客
04-03 1638
4月1日-4月2日愚人部分webWP,包括侥幸过的非预期解的“被遗忘的反序列化”
ctf.show 愚人
Welcome To Myon'Blog !
04-02 2636
愚人,ctf.show,MISC,WEB,base编码,PHP伪协议,010editor,zip伪加密,png
[GYCTF2020] Ezsqli
qq_40327508的博客
11-21 516
考点: 盲注 + 无列名注入 使用异或注入发现页面回显不一样 进一步判断 接下来开始获取列名,但是因为or被过滤使用sys.x$schema_flattened_keys绕过 使用脚本获取表名 import requests url = "http://9c35ab79-5056-4de1-87fe-0418ebc00b82.node3.buuoj.cn/index.php" flag = "" payload = "1^(ascii(substr((select group_concat(tab
【房策】广州渔人码头升级改造概念方案.ppt
04-17
广州洛溪渔人码头创意园规划方案 美食餐饮功能——国际观光美食乐园 农超对接功能——海鲜超市总汇 旅游观光功能——花鸟水岸公园/珠江深度开发 娱乐社交功能——棋牌茶艺/保健沐足/大型KTV、水疗馆/IMAX影院/ ...
台湾淡水渔人码头规划.docx
02-21
### 台湾淡水渔人码头规划相关知识点 #### 一、背景与意义 - **渔港转型背景**:随着渔业环境的变化和人们对海洋游憩活动需求的增长,原本以渔业生产为主的渔港开始向多功能方向发展。台湾淡水渔人码头正是在这样...
FlashToCocos2d-x
07-07
《Cocos2d-x与Flash的融合:FlashToCocos2d-x》 在移动游戏开发领域,Cocos2d-x作为一个开源的游戏引擎,因其高效、跨平台的特性,深受开发者喜爱。尤其对于想要实现Android和iOS双平台游戏的开发者来说,Cocos2d-x...
台湾淡水渔人码头规划.pdf
11-23
台湾淡水渔人码头的规划是基于渔业转型与游憩需求增长的背景,旨在将原本的生产性渔港转变为一个多功能的综合性区域。该规划的核心目标是实现渔业、休闲观光、教育和文化的融合,同时尊重并支持原有的渔业活动。 ...
2023ctfshow-愚人部分wp
猫的博客
04-03 444
思考很久还是从往年愚人找到了类似的答案flag:一个不能说的秘密。
虎符+红明谷+ctfshow渔人赛后复现
Atkx's Blog
04-05 1494
目录标题虎符CTFWeb-签到MISC-你会日志分析吗红明谷CTFWeb-write_shellMISC-我的心是冰冰的ctfshow渔人签到抽奖感受下气氛神仙姐姐阿拉丁迷飘啊飘简单二维码我跟你拼了 虎符CTF Web-签到 参考详细分析PHP源代码后门事件及其供应链安全启示 根据文章提示,添加恶意请求头 User-Agentt: zerodiumphpinfo(); 可以看到phpinfo内容 继续构造,查看根目录下的文件 User-Agentt: zerodiumsystem('ls /');
ctfshow 愚人&菜狗部分题目(flasksession伪造&ssti)
weixin_63231007的博客
04-11 1843
flask-session伪造 + 无过滤ssti命令执行 + php整数溢出
ctfshow 第三届愚人 easy_php
m0_64815693的博客
04-09 2426
ctfshow 第三届愚人 easy_php
ctfshow渔人简单的二维码
fuyewan的博客
04-05 541
ctfshow渔人简单的二维码 就是一个找错误flag的题 将wp.docx改后缀改为zip解压出来,word文件夹进去就是一个flag文件,notepad++打开看到一个 word文件夹中_rels中的文件用notepad++打开搜索flag word中的media中有个lmage3.png,用010打开是个文本文件里面是 lmage2.png需要补出010开头和结尾才能打开就是这玩意 看wp中提示,用stegsolve打开到红色的0位看到一个二维码,扫描过后是 你说气不气。 想到lsb隐写
ctfshow—2023愚人wp
mxx307的博客
04-03 3495
ctfshow——2023愚人部分wp
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
最新发布
A_Lonely_Smile的博客
10-29 963
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
ctfshow渔人
09-14
ctfshow渔人是一个CTF(Capture The Flag)比赛,它是以网络安全为主题的竞赛。在这个比赛中,参赛者需要解决各种网络安全相关的问题,包括密码学、漏洞利用、逆向工程等。比赛的目标是通过获取旗帜(flag)来获得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值