buuctf--基础破解

32304353

于 2025-04-10 22:31:26 发布

阅读量313

点赞数 8

文章标签：安全 MISC

本文链接：https://blog.csdn.net/qq_32304353/article/details/147129235

版权

下载题目，是个压缩包，解压需要密码

题目提示我们密码是四位纯数字，直接暴力破解

压缩包密码2563

得到了一串base64加密的字符串ZmxhZ3s3MDM1NDMwMGE1MTAwYmE3ODA2ODgwNTY2MWI5M2E1Y30=

直接拿去解密

直接得到falg：flag{70354300a5100ba78068805661b93a5c}

拿去提交

直接得分

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

32304353

关注关注

8
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BUUCTF-基础破解1

cdcdcdcd123132的博客

07-15

923

在 BUUCTF 上，你可以体验各种类型的安全攻防演练、CTF 比赛等丰富多彩的活动，不仅能深入学习安全知识，也能结交志同道合的朋友。赶快加入 BUUCTF 吧！据题目提示，这是一个四位数密码的加密文件，你需要使用 Archpr 等工具进行暴力破解，成功获得密码 2563 后再解压文件。在 BUUCTF 的在线评测环节中，有一道有趣的挑战题目，你需要通过破解一个加密压缩文件来获取 Flag。重新上传取消正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消正在上传…

BUUCTF - Basic

weixin_39505091的博客

07-06

1239

XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。发现有个 ctftraining 数据库，查找该数据库下的表，果然找到了有个 flag表，该表里有个flag字段。文件上传漏洞，上传一个php一句话木马文件，返回了文件的访问路径，再用蚁剑连接，即可在根目录找到flag。2. 本来这样是没啥办法的，但是我们访问这个木马文件，发现这个文件其实是被执行了，输出了 hello；

参与评论您还未登录，请先登录后发表或查看评论

CTF竞赛密码学题目解析

白帽子凯哥聊黑客

12-11

4581

CTF（Capture The Flag）竞赛是一个有趣的挑战。密码学是CTF竞赛中的核心元素之一，通常涉及解密、破译密码、理解加密算法等技能。以下是30个题目及答案，新入行的可以看看鸭。

压缩包破解与密码学(CTF)解密小结

weixin_46252940的博客

10-09

4983

压缩包破解与密码学(CTF)解密题一：提示： 1。根据提示所设置的密码全由数字组成，所以通过工具直接进行暴力破解弱口令。得到口令：666666，打开flag得到：压缩包破解与密码学(CTF)解密题二：提示：通过提示我们得到直接爆破可能无法解决这个问题，所以我们通过工具用其他格式进行处理，最后用字典得到口令：password 得到flag：压缩包破解与密码学(CTF)解密题三：第三题提示没有任何有用信息，我们在前一二题中所学的方法已经用的差不多了，剩下一个比较CRC32,和一个

BUUCTF MISC 基础破解1 题解

最新发布

wholeaves的博客

03-09

277

直接对解压后的基础破解.rar文件用ARCHPR暴力就行。题目给了4位数字密码提示。这种很明显是base加密。

CTF-MISC：BUUCTF练习汇总（1-25题，不包括签到题）

燕麦葡萄干的博客

07-30

8123

解题思路：该题比较基础，wireshark打开过滤HTTP流量包，追踪HTTP流后可以看到base64密文，解密后得到jpg图片，打开图片即可看到flag，在线OCR识别即可提取出flag值。解题思路：zip压缩包解压需要密码，图片中的盲文为解压的密码，解压后得到MP3音频文件，内容为典型的摩斯密码；解题思路：由题目可以为LSB隐写，使用StegSolve打开图片查看最低有效位得到PNG信息，另存为图片后发现是二维码，扫描后即可得到flag。对应摩斯电码为：-.-. - …-. .-- .–. . …

2022.3.14密码学基础题【网络攻防CTF】（保姆级图文）

MZH

03-15

4549

2022.3.14密码学基础 1. 埃特巴什密码 `flaghahactfisnice` 2. 疑惑的汉字,当铺密码 `CTF{RM}` 3. 莫斯密码 flag 4. 培根密码 flag`HELLOWORD` 4. 莫斯密码 `flag{MOOOTOOO}` 困在栅栏里的凯撒 `flag{CTF{tianshu}}` 6.URL编码 `ctf{welcometoshiyanbar}` 7. 哈希md5 `flag{sniper}` 8. 仿射密码 `flag{AFFINECRYPTO}`（改为大写的``）

CTF中的Misc解题思路（BUUCTF）

qq_63022391的博客

10-27

9468

发现没有什么有用的东西，然后用010editor尝试，发现里面有一个.zip文件，然后将文件后缀改为.zip，发现改后缀名无效，因此，我们使用Linux命令string 文件名，即可得到hctf或直接使用ida即可得到hctf。打开压缩包发现是一个图片，但根据题意，发现本题涉及密码，应该是一个文件，于是使用010editor打开，发现里面隐藏了一个压缩包，然后将图片的后缀改成.zip。此时，我们发现这像是一个图片地址，我们直接将其拉入浏览器，得到一张图片，然后使用qrcode扫描得到二维码。

BUUCTF-misc刷题

2302_80935968的博客

05-27

1137

打开附件发现是一个.jpg文件，继续用二进制编辑器打开仔细寻找发现里面有两个FF D8 FF，所以有两个.jpg文件，我们将这两个文件进行分离发现什么信息都没有，相反在源文件的基础上，我们直接搜索flag（66 6C 61 67）反而很轻易的看到了flag。下载好附件之后是一个.jpg文件，但是题目说保险箱有一个四位数的密码，因此我们猜测在这个.jpg文件中肯定还隐藏了其他文件，我们用二进制编辑器打开这个文件。说明这里还藏着一个.rar文件，那就很easy了，还是老规矩，我们把.rar文件分离出来。

BUUCTF-CRYPTO-[V&N2020 公开赛]Backtrace

zippo1234的博客

10-25

1396

BUUCTF-CRYPTO-[V&N2020 公开赛]Backtrace[V&N2020 公开赛]Backtrace题目分析开始1.题目2.分析（1）MT19937算法生产随机数的过程（2）逆向 extract_number（3）逆向twist3.解题思路4.脚本5.get flag结语每天一题，只能多不能少 [V&N2020 公开赛]Backtrace 题目分析 1、MT19937随机数破解 2、随机数状态state逆向破解开始 1.题目题目很简单，给了生产脚本backtra

BUUCTF-MISC-WP

2402_84133101的博客

04-14

1170

Bit Planes里的Red，Green，Blue选项勾上0，右边Bit Order里的LSB First选择LSB First，然后Save Bin。用010打开没有发现线索，猜测为LSB隐写，用stegsolve打开文件，发现一个zip文件，save bin保存。用010打开文件，在最下面发现了一串二进制数，用二进制转换ascii在线工具解码，得到flag。保存的文件是一个二维码，使用草料二维码在线解码器解码，得到flag。解压文件，得到一个ELF文件，Linux直接运行，得到flag。

CTF | CTF比赛题解分享

hackzkaq的博客

10-09

8689

前言：由于此次比赛的题目较多，所以这是这个比赛的第一篇wp，共20题，先记录一下，防止忘记。里面有些题目是新手题较为简单，但也有许多有意思的题目，真的是做的过程痛不欲生，做完才感觉到酣畅淋漓，废话不多说，开写。接下来就可以定位了。1.这次显示文件是个jpg格式的图片，但是打不开，16进制编辑器打开，看到文件头出现了IHDR头，就可以想到其实是个png格式的图片，再看到文件尾，更加证实了是个png文件。4.第三张照片是最头疼的，全都是高楼，能够看到的只有广西农信，时代丽都，搜索相关位置，找到了大概区域。

CTF解题-网安实验室(基础关)

道阻且长，行则将至

09-07

2375

Base64 编码什么是Base64编码？在参数传输的过程中经常遇到的一种情况：使用全英文的没问题，但一旦涉及到中文就会出现乱码情况。与此类似，网络上传输的字符并不全是可打印的字符，比如二进制文件、图片等。Base64的出现就是为了解决此问题，它是基于64个可打印的字符来表示二进制的数据的一种方法。 Base64，就是使用64个可打印字符来表示二进制数据的方法。Base64的索引与对应字符的关...

CTF Crypto 入门练习

m0_67837149的博客

08-04

4967

CTF Crypto 入门练习

ctf破解密码题

2406_87429010的博客

10-16

1091

miscmisc。

基础破解：buuctf杂项；

weixin_55631415的博客

12-29

1077

kali中john破解压缩包密码_百变马丁同学的博客-CSDN博客kali中rarcrack爆破rar压缩包密码_百变马丁同学的博客-CSDN博客。

CTF-MISC-基础破解-WP

single7_的博客

11-23

1901

0x01 思路下载获得文件后解压获得基础破解rar文件由于压缩文件格式为 rar,如果使用伪加密的方式那么rar打开时会报错，因此可以确定该文件没有使用伪加密。下载压缩文件密码破解工具使用后调整选项，开始破解，破解后获得密码为 2563 使用密码 2563 打开压缩文件，解压获得 flag.txt，得到一串字符。判断为 base64 加密字符，将获得的字符进行解密获得 flag flag{70354300a5100ba78068805661b93a5c} ...

CTF题目合集_网络安全ctf大赛题库，附详细答案

碧海朝天素

04-08

2733

/对字符串进行反转如果是abc 那么就是 cba。X-Forwarded-For 尝试这个。将1改成2即可绕过wakeup功能。

Web安全和渗透测试有什么关系？

Python_0011的博客

03-31

2126

做渗透测试的一个环节就是测试web安全，需要明白漏洞产生原理，通过信息收集互联网暴露面，进行漏洞扫描，漏洞利用，必要时进行脚本自编写和手工测试，力求挖出目标存在的漏洞并提出整改建议，当然如果技术再精一些，还要学习内网渗透（工作组和域环境），白盒审计，app，小程序渗透那些了......可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。总之，web安全包含于渗透测试，但不是渗透测试的全部。

buuctf basic答案

01-01

### BUUCTF 基础挑战解决方案 #### 靶机启动与初步探索对于BUUCTF的基础题目，通常涉及Web安全的基本概念和技术。当面对一个新靶场时，首要任务是理解其工作方式并识别潜在的安全漏洞[^3]。 #### 用户名密码爆破实践在某些情况下，可以通过暴力破解的方式找到正确的凭证组合。例如，在一次实验中，使用`admin`作为用户名，并利用Burp Suite工具对四位数字组成的密码进行了爆破攻击。具体操作包括配置代理、抓取数据包并通过Intruder模块调整负载参数以优化效率。最终确定了一个有效的策略：采用单线程模式且每两次尝试间保持100毫秒延迟，从而避免触发服务器端防护机制，成功获取了目标系统的访问权限及FLAG。 ```python import requests from time import sleep def brute_force(url, username='admin'): for i in range(10000): # 尝试所有可能的4位数密码 password = str(i).zfill(4) response = requests.post( url, data={'username': username, 'password': password} ) if "success" in response.text.lower(): print(f"[+] Found valid credentials: {username}:{password}") break sleep(0.1) # 设置适当延时防止被封禁IP地址 if __name__ == '__main__': target_url = input("Enter the URL of login page:") brute_force(target_url) ``` 需要注意的是上述方法仅适用于合法授权下的渗透测试练习环境中；实际应用中应遵循法律法规，严禁未经授权擅自入侵他人信息系统的行为。 #### PHP类型混淆漏洞利用案例另一个有趣的例子展示了PHP语言特性可能导致的安全风险——特别是关于字符串比较运算符(`==`)处理不同数值表示形式时可能出现的问题。通过构造特定格式的数据（如带有指数符号'e'的浮点数），可以在不改变逻辑值的前提下绕过基于简单相等判断的身份验证过程[^4]。 ```php <?php // 模拟存在缺陷的应用程序代码片段 function check_login($input_password){ $stored_hashed_pwd="0e123"; // 这里假设存储着hash后的密码 return ($input_password==$stored_hashed_pwd); } echo (check_login('anything') ? 'Login Success!' : 'Invalid Credentials'); ?> ``` 此段脚本由于未严格校验输入变量类型，使得任何形似`0eN`(其中N代表任意整数)的形式都能满足条件表达式的真假判定标准，进而造成非法用户的不当准入现象发生。