青少年CTF-WEB-2048

最新推荐文章于 2024-02-22 17:32:25 发布
最新推荐文章于 2024-02-22 17:32:25 发布
阅读量1.1k 收藏 4
点赞数 3
分类专栏: CTF做题笔记 文章标签: 前端 服务器 运维 web安全 安全 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73734159/article/details/134491858
版权

题目环境:
image.png

针对这种游戏通关类题目,常见的有两种情况
一、有参数改参数的数值达到题目规定的分数即可拿到flag
二、没有参数那么flag就是被编码了,找编码即可

这道题并没有说题目通关即可获得flag,也并没有发现参数
所以这里猜测flag被编码了,就在源代码里面

F12查看源代码
image.png
查看2048.js文件内容
image.png

发现可疑编码

alert(String.fromCharCode(24685,21916,33,113,115,110,99,116,102,123,50,97,51,56,54,54,54,54,45,53,51,57,49,45,52,54,102,99,45,98,54,57,100,45,99,97,101,50,57,49,97,99,57,53,98,102,125))

alert是JavaScript的弹窗方法
String.fromCharCode将Unicode 编码转换成字符串形式

使用script标签将其作为JS代码执行
image.png
image.png
得到flag:
qsnctf{2a386666-5391-46fc-b69d-cae291ac95bf}

白猫a~
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【无标题】
qq_17720023的博客
05-28 1834
CTF练习题WriteUp之WEB-2048 文章目录CTF练习题WriteUp之WEB-2048 打开URL进去后是2048游戏 提示得到4096的方块即可获得flag哦 先查看一下源代码 这是一个JS写的游戏 查看一下JS源码 进去以后发现是乱码,用set character encoding插件,即可显示正常 可以直接看到flag ...
CTF题目练习-3day
ZhangAweio的博客
05-28 467
原来是这个:将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断。这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。这里多了一个 is_string 函数意思就是说必须为字符串,那么我们就不能用数组绕过了,我们可以考虑md5的碰撞。还让我达到2000分,做梦去吧,作为一个黑客,怎么能不修改源代码呢?首先看到的题目,应该是一个 CVE 具体是啥,我也没见过,我去翻翻资料。
2048青少年CTFweb
weixin_73452725的博客
10-23 452
我们能看到有一个JS代码组成的2048也就是JavaScript然后查看这个2048.js。找到这个运行的JavaScript复制找到工具js在线运行工具。这个题目我们能看到需要倍数达到2048。打开神器F12查看源码。
CTFSHOW WEB 01 - WEB 20 信息搜集篇 详解
最新发布
qq_49399033的博客
02-22 1047
域名解析记录,也称为 DNS 记录,是保存在 DNS 服务器上的信息。它们将人类可读的网址(例如,[www.example.com)映射到机器可读的IP 地址(例如,192.0.2.1)。这是因为计算机和其他设备使用 IP 地址在互联网上找到和交流。A 记录:这是最常见的 DNS 记录类型,用于将域名映射到一个 IPv4 地址。AAAA 记录:这是 A 记录的 IPv6 版本,将域名映射到一个 IPv6 地址。CNAME 记录。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
2048_行坤.rar
02-25
2048游戏,C#语言开发 开发工具:VS2018版 基本逻辑如下: 用picturebox构建一个4*4的组,作为游戏的主界面,上方放置四个label来记录得分; 每个picturebox初始的visable属性都设为false,即所有的方块初始不可见; 每个picturebox的tag属性记录该块的数字; 使用随机数产生随机位置与随机数(2或4); 将此位置picturebox的图片更新,并更新tag,并设置为可见; 移动、消除、重复生成,直到可视的方块数超过16(游戏失败)或者得到了2048游戏胜利)
ctfshow 摆烂杯
zip471642048的博客
12-27 1362
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
小程序游戏2048
07-03
小程序游戏2048小程序游戏2048小程序游戏2048小程序游戏2048
CTF(一)
Hack
11-18 6609
    进入夺旗页面,发现是一个js编写的2048游戏,但是感觉不是玩2048这么简单, 查看源码 <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <title>
HNCTF——web方向部分题解
m0_60715541的博客
11-01 1453
这是这次分享的题解的清单,主要是web的,等我啥时候有时间更新一波杂项的题解。
[青少年CTF]CheckMe06-07|PingMe02|2048|简简单单的题目|BASE
明裕学长的博客
03-17 1527
得到提示flag2的压缩包密码为二维码解开后在开头加上qsn即可拿到flag压缩包。在结合Free_File_Camouflage工具解开图片中的2.txt。之后对key.txt解密是盲文得到qsnCTF9999。将它复制到js在线运行一下弹窗获得flag。二维码在ps中按ctrl+i黑白反转。将中括号去掉然后结合python。第一个解出密码为qsnctf。另一张改高度得到 我沉醉了。使用字典对登录界面爆破。该题使用万能密码即可。按照里面的提示去解密。
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-web学习大纲
01-30
CTF-web学习大纲
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
python反编译-以2048游戏为例
Henrik-Yao的博客
03-01 2160
背景 一道ctf题,通过破解2048游戏获得flag 游戏的规则很简单,需要控制所有方块向同一个方向运动,两个相同数字方块撞在一起之后合并成为他们的和,每次操作之后会随机生成一个2或者4,最终得到一个“2048”的方块就算胜利了。 工具准备 1.pyinstxtractor.py脚本用于反编译python 脚本内容如下 from __future__ import print_function import os import struct import marshal import zlib
ctf题目复盘
萍水间人的小天地
04-07 3062
为了准备四月下旬的校赛, 豁出去了 2048 首先进去之后是这样一个界面 2048是我喜欢的一个游戏, 然后我女朋友把它玩到了2048, 却啥也没出现。。 网站做的很流畅, 但是我一点思路都没有 开始抓包 GTE请求 发现了一个ETag的东西, 怎么把其下载下来呢? response响应 怎么把它下载下来呢? ... 扫描后...
HNCTF 2022 week1 web方向题解
m0_74160536的博客
08-01 598
简单说一下file伪协议,也是引用的别人博客(https://blog.csdn.net/qq_37466661/article/details/126203437)但正常情况下,我们输入php?filter=flag.php,只会发现一片空白,这时就需要用到php伪协议了,而这道题使用的就是file伪协议。检查-网络-刷新网页,只有两个网络响应,不过另一个是图标,不用管,打开cookie,提示去/f14g.php,跳转。打开环境,是一个小游戏,目标是2000分,不用管,小游戏题基本都是找js代码。
NSSCTF 2048
weixin_74336671的博客
01-08 420
修改score>20000或者直接运行:(控制台输入)按F12查看网络,看到2048.js文件,打开。这道题本身就是一个好玩的游戏,哈哈!
青少年ctf web unserialize
08-28
青少年 CTF(Capture The Flag)比赛是一个针对青少年网络安全竞赛。在 CTF 中的 Web 题目中,可能会涉及到反序列化(unserialize)漏洞。 反序列化漏洞是一种常见的安全问题,它发生在将数据从序列化的状态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白猫a~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值