ctf随笔(3)性格荷官,在线XX

最新推荐文章于 2023-03-30 16:07:33 发布
最新推荐文章于 2023-03-30 16:07:33 发布
阅读量1.1k 收藏
点赞数
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ma_nong_/article/details/101239606
版权

这次遇到的题是一个猜数字的题,猜对了才有足够的积分换flag,这次涉及到php松散比较,githack

一开始就是普通的简介,猜七个数字,全中了就轮船酒吧,猜不对就种田回家

这就是万恶的赌博网站

登录名啥的随便写写就好了,不影响之后的操作,进去后就可以开始玩耍

性感荷官,在线猜数字
在这里插入图片描述很明显,这种乱猜就像猴子排序一样不靠谱,不知道猜到下辈子能不能拿到flag

这时候,我注意到上方有home,buy,account claim your prize这几个选项,前几个没什么大用,最后一个直接告知了你要买flag需要多少钱,就算拿了最高奖也得拿两次才行

在这里插入图片描述遇到这种网站习惯性的康康cookie和robots,然后就发现了这个

在这里插入图片描述看到这个就知道试试Githack了

githack成功之后康康有什么有意思的收获
在这里插入图片描述
又是漫长的代码审计,看了这么久也就那个api.php有用,还好筛了一下(感谢writeup大佬的指点),要不然会看吐,最后就是以下两个代码段有用
在这里插入图片描述看到这个提示就知道有东西搞了,最后这个随机数函数的返回值用了strval()
strval() — 获取变量的字符串值。
这个随机数弄到最后是字符串,莫不是有迹可循
再看下面的代码就明白了
在这里插入图片描述
numbers是用户输入的,另一个则是随机函数弄出来的,关键用的还是松散比较,我输入个true,只要对面随机出来的不是0,那就是对的,当然,从网页里是没办法输入true的,还是继续抓包改包叭
在这里插入图片描述

在这里插入图片描述结果还行叭
最后多重复几下钱够了就可以get到flag了

小崽砸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信小程序实战(2)——注册、预览小程序
再起航!
11-06 8474
微信之父张小龙的一段话 小程序是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的梦想,用户扫一扫或者搜一下即可打开应用。也体现了“用完即走”的理念,用户不用关心是否安装太多应用的问题。应用将无处不在,随时可用,但又无需安装卸载。   - Allen Zhang(张小龙) 小程序是无须安装的,这也是和Native App最本质的区别,“用完即走”!当然它也不是We
18xx在线玩18xx游戏的平台!
02-13
18xx。游戏 关于 是一个免费的开放源代码网站,可用于玩游戏。 所有游戏均在其各自的设计师和/或发行商的许可下发布。 贡献者 特别感谢所有帮助使该项目真正成功的! 发展 请提交并。 有关开发的大多数讨论都发生在#18xxgames和#18xxgamesdev频道中的18xx 上。 如果您想将游戏添加到该站点,请通过Slack与我们联系。 有关更多信息,请参见 。
XX在线简历自动刷新
zobin的专栏
07-28 884
 XX在线的人才简历表示在最顶的总是最新更新的简历,程序控制自动刷新程序原理:重载CHtmlView类,添加对Html页面中控件的控制,赋值或取值。取得Html页面中JS的各个函数,并执行调用。  XX在线中更新简历的处理是对页面重新指向:main.php?N=configure&type=update_resume利用这部分可以添加对页面重新的计时器,并将重新指向后弹出的
【T+】登录畅捷通T+软件后提示同一个浏览器中不允许存在用户XX同时在线
努力不懈的为广大客户提供优质的产品与真诚、贴心、专业的服务!
03-30 894
【问题现象】某个账号登录畅捷通T+软件后打开某个功能节点时提示:同一个浏览器中不允许存在用户:001和001同时在线,请注销后重新登录。但是注销重新登录,依然不好使。
在线XXEncode加密/解密(XXEncode编码/解码)工具
热门推荐
WP8HUB
04-28 1万+
在线XXEncode加密解密工具,提供XXEncode编码(XX编码)、XXencode解码(XX解码)、以及XXencode编码原理介绍、编码算法说明。 工具链接:http://www.atoolbox.net/Tool.php?Id=780 XXEncode是一种二进制到文字的编码!它跟UUEncode以及Base64编码方法很类似。它也是定义了用可打印字符表示二进制文字一种方法,不是一种...
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
CTF真题-Dest0g3CTF2022招新赛
06-01
CTF真题-Dest0g3CTF2022招新赛,来自BUUCTF
ctf工具MP3Stego
04-11
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种技术挑战来展示他们的技能,其中就包括隐写术。隐写术是信息安全领域的一种技术,它涉及在数据中隐藏秘密信息,通常是为了保密或者进行非传统的通信...
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
vue.js在线编译网址(编译成render函数需要的)
会点php的前端小渣渣
12-29 1996
vue2.xx版本在线编译:https://template-explorer.vuejs.org/# vue3.xx版本在线编译:https://vue-next-template-explorer.netlify.app/# 有助于学习
用Python生成答题库,辅助完成XX在线平台视频学习的课后考试
weixin_43704123的博客
06-12 2226
随着XX在线视频学习的任务增多,有时刷完视频并不能轻松完成课后考试,本篇文章意在用Python提供解决思路和代码,为顺利通过考试提供可行性方案。
在线选色小工具
爱红旗渠
07-01 3033
19种颜色,10个色阶,在线选择,最重要的是工具小巧精美。 效果如图: Screen Shot 2020-07-01 at 9.02.22 AM.png 再也不用为选择颜色纠结了! 小工具地址:http://demo.94275.cn/ColorPicker/ 非专业设计选手的趁手小工具 ...
ctf GetFlag
cs_xiaoqiang的博客
01-18 5995
今天好不容易将这道题做出来了,来与大家分享分享。题目如下:访问连接:   http://106.75.26.211:2222   先查看源码,没有任何发现。但是在页面上发现一个登陆窗口,跳转到登陆窗口。并且发现验证码是纯数字的md5的值取最前面的6位,那么可以自己写一个脚本来跑 有了验证码之后,本来是准备尝试爆破的。可是发现每访问一次验证码都会改变,所以这条路明显行不通。经过多次的尝试之后发现登陆
CTF-实验吧-安全杂项-超级纪念品
mynd天堂
03-07 1330
题目来源:http://www.shiyanbar.com/ctf/1806点击打开链接 进入页面,查看源码发现想想这样如果是答案也不会放在安全杂项里面啊,提交果然错了。然后对页面不停的点击,根据提示得到如下信息: 1:购买麻辣香锅秘方和绩点精灵,购买后不断刷新可以让自己的钱不断增加,超过200w,,然后就不能增加了,绩点精灵可以让自己获得奖学金可以多次购买,越多奖金也高,最多40
[CTF]对支付软件的漏洞利用buyflag
网络安全知识分享
01-28 3457
对支付软件的漏洞利用 考点 安卓应用的简单逆向、反编译、patch、重打包 对安卓应用的通信流量进行抓取和分析 XXE漏洞及其利用 思路 首先patch掉禁用注册的源码 通过git泄露获得服务端web源码 源码审计 通过xxe漏洞获得key 利用key伪造交易信息给自己充值 step1 获取到apk 首先我拿到了一款支付软件的安装包,我们先在模拟器中安装好这个软件,我们发现这里的注册按钮是无法使用的,如下图: 这时,我们要利用移动端逆向的知识,patch掉禁用注册按钮的的代码 工具:apktool
Datacom-HCIA认证全套课件
07-30
Datacom-HCIA认证全套课件 完整的,不错 HC110110001 传输介质简介.pptx HC110110002 以太网帧结构.pptx HC110110003 IP编址.pptx HC110110004 ICMP协议.pptx HC110110005 ARP协议.pptx HC110110006 传输层协议.pptx HC110110007 数据转发过程.pptx HC110110008 VRP基础.pptx HC110110009 命令行基础.pptx HC110110010 文件系统基础.pptx HC110110011 VRP系统管理.pptx HC110110012 交换网络基础.pptx HC110110013 STP原理与配置.pptx
基于tp5的校园生活系统.zip
最新发布
07-30
基于tp5的校园生活系统.zip
面向对象设计之21点扑克 java
11-20
21点扑克是一款经典的纸牌游戏,在面向对象设计时,我们需要考虑如何将这个游戏分解成不同的对象,并让它们之间能够相互交互。首先,我们可以创建一个扑克牌的类,表示一副扑克牌,包括花色和点数。然后,我们可以创建一个玩家的类,表示游戏中的每个玩家,包括他们的手牌和得分。接下来,我们可以创建一个荷官的类,表示游戏中的庄家,负责发牌和计算点数。最后,我们可以创建一个游戏控制器的类,用于处理游戏的流程控制,比如开始游戏、投注和结束游戏等。 在这个设计中,每个对象都有自己的属性和方法,比如扑克牌可以有花色和点数,玩家可以有手牌和得分,荷官可以发牌和计算点数,游戏控制器可以处理游戏的流程控制。这样,我们可以通过各个对象之间的交互来实现21点扑克游戏的逻辑。 另外,我们还可以利用继承和多态的特性来优化设计。比如,扑克牌可以作为一个基类,然后派生出不同花色和点数的扑克牌;玩家和荷官可以作为不同类型的玩家,它们都具有共同的方法,比如抽牌和计算得分,但是具体实现可以有所不同。这样,我们可以更好地组织代码,提高代码的复用性和可维护性。 总的来说,面向对象设计可以帮助我们更好地理解和实现21点扑克游戏,通过分解成不同的对象,并定义它们之间的交互关系,使得代码更加清晰和模块化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值