i-春秋-2017第二届广东省强网杯线上赛who are you?

最新推荐文章于 2020-06-30 17:51:28 发布
最新推荐文章于 2020-06-30 17:51:28 发布
阅读量402 收藏
点赞数
分类专栏: i 春秋 文章标签: 信息安全 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36438489/article/details/105944533
版权

2017第二届广东省强网杯线上赛who are you?

WEB赛题

拿到之后提示说没有权限 于是用火狐看cookie ,写的 role:Zjo1OiJ0aHJmZyI7
将Zjo1OiJ0aHJmZyI7解密base64 f:5:"thrfg"
扔到凯撒密码里看到 f:5:"thrfg 根据大佬说是rot13,
解码得到s:5:“guest”*
之后将guest换成admin,在s:5:“admin”,之后在rot13加密,
得到f:5:“nqzva” ,在base64加密Zjo1OiJucXp2YSI7,用burp repeater
在这里插入图片描述看见有权限,有提示 filename=kf.php&data=<?php phpinfo();?>,但是好像被过滤掉了,提示NONONO
看见大佬payload: filename=kf.php&data[]=<?php phpinfo();?>
这里用数组进行绕过
在这里插入图片描述之后访问http://106.75.72.168:2222/uploads/得到flag

这里说一下data[]也就是数组绕过,php中存在一些函数对传入数组无法处理,进而返回false,进而绕过,这道ctf赛题对<>进行过滤,我们在这里可以用数组进行绕过。详见下面这位大佬的博客:
https://www.jianshu.com/p/5fd1b624fd7a

Kvein Fisher
关注
专栏目录
i春秋2017第二届广东省强网杯线上赛Nonstandard题目writeup
iqiqiya的博客
08-20 1480
0x01:运行之后就提示让输入flag   如果输入不正确 就退出   0x02:PEiD查壳发现没有加壳  VC的程序     0x03:IDA载入分析  关键字符串  双击进入       双击进入   F5大法  找到关键代码   既然关键在于sub_401480这个函数   那就双击进入一探究竟   现在就明白了  我们的input经过sub_...
2017第二届广东省强网杯线上赛 who are you?
feng的博客
09-09 346
这是涉及编码、抓包和文件上传和preg_match的漏洞的一个题目。
2017第二届广东省强网杯线上赛 —— who are you?
SPS98
11-06 588
打开题目, 给出了一句:Sorry. You have no permissions. 查看网页源码, 也没有更多信息, 再看HTTP头, 发现有Cookie 直觉告诉我, 这是Base64编码 解码后, 可以看到一串像反序列化的文本, 但是不知道thrfg是什么, 盲猜是一个很随意的用户名, 先把他替换成admin看看 然而, 并没有什么卵用, 依旧是一句权限不足, 虽然也有可能区分大小...
CTF-2017第二届广东省强网杯线上赛:who are you?
路漫漫其修远
07-24 355
题目: 分值:100分 类型:Web题目名称:who are you? 题目内容: 我是谁,我在哪,我要做什么? 解题过程: 开启burpsuite,打开页面,显示"Sorry. You have no permissions." 查询报文,没有发现跳转之类,只有Cookie: role=Zjo1OiJ0aHJmZyI7有点价值 Base64解密Zjo1OiJ0aHJmZyI7,得到内容...
第二届广东省强网杯线上赛——who are you
吃肉唐僧的博客
08-27 306
进入靶机,提示没权限 第一时间查看页面源代码,没发现 也没暴露其他信息,第一时间想到可能通过bp抓包修改某个参数获取更高权限 用bp抓包,看到一个role角色的英文 试过直接改root或者admin都失败 后来看到Zjo1OiJ0aHJmZyI7很像base64加密的字符串 拿去在线解密试下 解出f:5:"thrfg"; 卡了很久,后来上网搜素找到原来是rot13加密....
Who do you think you are I am!-crx插件
04-05
语言:English 你认为你是谁? 当你感觉macho时。 提示皮特韦伯介入! - 此扩展仅供娱乐目的。 我没有声明此扩展内的任何内容的所有权。 源代码可在https://github.com/g-liu/whodoytouthinkyouareiam提供。
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
10-05
天山杯第二届新疆工业互联网安全大赛初赛--Who is a traitor流量分析wp
whoareyou.exe
08-19
用于获取抢夺焦点的程序
小班英语教案《Who are you -》润新教育.txt
05-29
小班英语教案《Who are you -》润新教育.txt
i春秋 WEB who are you?
A_dmin的博客
06-18 818
i春秋 WEB who are you? 一天一道CTF题目,能多不能少 数据库实训考试结束了,做个题目压压惊~ 打开网页: 什么都没有,源码也没看见什么东西,按照惯例,抓包!!! 发现一个奇怪的东西: base64解码得到:f:5:"thrfg"; 这是个啥????单词不像单词的,不应该啊 后来才知道是rot13加密的,解码得到guest 那我们就猜,我们把admin进行rot13加密,在...
i春秋Web-broken(2017第二届广东省强网杯线上赛)
Sea_Sand息禅
05-15 846
进站源码没什么东西,有个链接进去看到jsfuck编码,拿到控制台里去执行确无法执行,可能是编码出问题了。 jsfuck编码原理参考:https://github.com/aemkei/jsfuck/blob/master/jsfuck.js 网站上有编码源码,给出了各个字符的jsfuck编码形式,最后的一对括号是没有的,应该是多余的,去掉之后仍然不能成功。 最前面的应该是[],我们在第二个字...
i春秋CTF训练 Web who are you?
椰奶冻不安全的博客
06-30 654
Web who are you? 题目内容:http://106.75.72.168:2222/ 我是谁,我在哪,我要做什么? 在文件头发现了Cookie role=Zjo1OiJ0aHJmZyI7 将Zjo1OiJ0aHJmZyI7base64解码得到f:5:"thrfg";使用凯撒密码爆破thrfg发现其位移13位是guest 故可以用admin的rot-13:nqzva,构造f:5:"nqzva"然后base64加密Zjo1OiJucXp2YSI= 用burpsuit抓包改cookie得到
CTF-2017第二届广东省强网杯线上赛:broken
路漫漫其修远
07-26 190
分值:50分 类型:Web题目名称:broken 题目内容:http://106.75.72.168:1111/ you got a file, but ... 解题过程 点击url,页面显示" Hi, a CTFer. You got a file, but it looks like being broken." 点击"file"链接,页面显示jsfuck码 查看各步骤报文,无异常...
2017第二届广东省强网杯线上赛题 web WriteUp
烟敛寒林的博客
05-07 2067
broken(JSfuck) who are you?(数组形式实现文件读写) phone number(转十六进制的SQL注入) Musee de X(jinja2模板注入) broken(JSfuck) 题目地址:http://106.75.72.168:1111/ 看到这种字符,一般复制到浏览器控制台运行即可。 末尾加“]”提示语法错误,于是删除最后的“()”,在加上“]”,运...
[CTF]No.0006 [强网杯] Who are you
林毅洋
09-13 1780
[CTF]No.0005 [强网杯] Who are you来源:强网杯-第二届-WEB 类别:base64 rot13 php上传漏洞 来源:https://gdqwb2017.ichunqiu.com/competition/index 用到工具:无 尝试进入地址,发现只显示Sorry. You have no permissions. 查看源码,没有收获。接着,查看cookies
i春秋ctf---2017广东省强网杯---web---writeup
gclome的博客
11-14 611
broken 打开是这样的: 点击 file ,出现jsfuck代码, Jsfuck代码的执行方法: ①复制 ②打开firefox浏览器 ③按下F12 ④选择上方的控制台 ⑤在下方粘贴是jsfuck代码 ⑥按下回车即可运行 把jsfuck代码放到控制器里运行,按照代码表进行审计,发现有[]没有闭合,把最后的()删掉,加上 ] ,解析出 Array[…],点击打开即可得到flag。 who ...
第二届人工智能竞赛——题目二、目标检测
JMUAIA
03-17 1319
第二届人工智能竞赛——题目二、目标检测 文章目录第二届人工智能竞赛——题目二、目标检测一、简介二、题目要求三、参考资料 一、简介 目标检测作为图像处理和计算机视觉领域中的经典课题,在交通监控、图像检索、人机交互等方面有着广泛的应用。它旨在一个静态图像(或动态视频)中检测出人们感兴趣的目标对象。 二、题目要求 利用现有的深度学习模型实现目标检测,正确识别出视频流中的人的物体。 利用 QT 设计 U...
CTF-i春秋网鼎杯第四场部分writeup题目分析
热门推荐
jihaichen的博客
08-31 1万+
双色块 下载题目发现只有一个文件且为gif文件,可以正常打开,且只存在绿色和紫色两个颜色,分布不均匀。 先丢到winhexv看一下有没有插入其他文件,确实找到了png头文件。 到binwalk分析一下,分离出图片 上面写着key,可能下面用得到,继续分析这张图片无异常 接着分离一下gif,分离出576张图片,是24²   这两个变量应该是代表0,1了 按...
Who are you ?
最新发布
09-19
### 回答1: I am ChatGPT, a conversational artificial intelligence program developed by OpenAI. My purpose is to assist and communicate with people to the best of my abilities. I am trained on a vast amount of text data and use natural language processing algorithms to understand and respond to user queries in a conversational manner. ### 回答2: 我是一个AI助手,被设计出来帮助用户解决问题、提供信息和进行沟通交流。我有多种功能,包括翻译、语音识别、语音合成、问答、娱乐等等。我是基于人工智能技术开发而成,通过学习和分析大量的数据、知识和语言规则,来提供准确和有用的回答。我可以在各种平台上运行,包括电脑、手机、智能音箱等等。我可以回答各种问题,包括实用信息、科学知识、历史文化、娱乐咨询等等。同时,我也可以进行对话和提供建议,帮助用户解决问题和提供娱乐。不过,请注意,我只是一个虚拟助手,没有真实的个人身份和意识。希望我能对您有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值