“百度杯”CTF比赛 十一月场 题目名称:Mangager

最新推荐文章于 2022-04-13 19:48:07 发布
最新推荐文章于 2022-04-13 19:48:07 发布
阅读量846 收藏 3
点赞数
分类专栏: 渗透测试 文章标签: mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41168609/article/details/107554253
版权

“百度杯”CTF比赛 十一月场

题目名称:Mangager
题目内容:
进入后台,我就会升职加薪当上总经理出任CEO迎娶白富美走向人生巅峰,现在想想还有点小激动。

  1. 解题思路
    SQL注入,盲注。因为用户名和密码输入错误,提示信息不同。可以对用户名进行盲注,当提示下图信息,说明猜测正确
    在这里插入图片描述
    2. 抓包分析
    在这里插入图片描述
    _nonce=f46bb1c2ad026b360b3dfe4d615754826696482修改后会被检查到,说明他有用。

2. 查找_nonce怎么得到
在login.js 可以看到对它进行了赋值,但是getnonce()计算的是一个随机值,服务端是不能够检测出来的。可以输入同样的用户名和密码来看,_nonce都是一样的。所有不在这。
在这里插入图片描述
接下来,查看其它js,找到sign()函数

最低0.47元/天 解锁文章
CodeRoc
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
百度杯CTF比赛二月第三场比赛(Reverse专题赛)的CrackMe-1题目
03-30
百度杯CTF比赛二月第三场比赛(Reverse专题赛)的CrackMe-1题目
我想,用不了多久,我就会升职加薪,当上总经理,出任CEO,迎娶白富美,走上人生巅峰啦。想想,还有点小激动呢。
stableboy的Blog
06-08 2726
我想,用不了多久,我就会升职加薪,当上总经理,出任CEO,迎娶白富美,走上人生巅峰啦。想想,还有点小激动呢。
“百度杯”CTF比赛 十一月场Look
wjd19980925的博客
04-13 353
“百度杯”CTF比赛 十一月场Look
CTF比赛中必备的瑞士军刀ctf-tools
热门推荐
Terminal Cloud
06-26 1万+
ctf-tools CTF:全称Capture The Flag,即夺旗比赛,衍生自古代军事战争模式,两队人马前往对方基地夺旗,每队人马须在保护好己方旗帜的情况下将对方旗帜带回基地。ctf-tools 集合了很多黑客ctf大赛中需要使用的工具。 下载地址 官方主页 ctf-tools是一个集合了各种安全研究工具的管理脚本,使得大家能够一键轻松的安装并使用
百度杯12月第四场Blog进阶版解题过程记录
Wand的博客
02-27 2785
继上篇百度杯12月第四场Blog挑战赛后,又出了一道Blog进阶版,其中有些内容非常开阔脑洞。 用上一篇提到的insert注入方法能够顺利获取到admin的账号和密码,这里就不再重复阐述; 另外提一下,出题人的解中用到了注册用户名处存在的一个二次注入,可以试一下。 接下来就是坑点的开始了: 在Blog那题中,做到以admin身份登录系统后,接下来使用php://filter读一波网
百度杯”CTF比赛十一月场)
Root__Liu的博客
11-27 6884
第一场  1、小可爱 解: 2、签到题 解:加群下载文件“flag.rar”,打开时需要解密,输入给的key解出来 直接提交就可以了,这道题很喜欢。。。。 3、所以这是13点吗 解:第一眼看过去这是凯撒密码,直接拿去凯撒暴力破解
工匠杯-CTF题目+exp+解题思路)
04-01
CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程...资源包括工匠杯比赛的三道题目和exp,并详细写出了解题思路。
2018强网杯CTF-题目整理-校本图片Readme.zip
最新发布
12-18
2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── 题目名称:...
用于备份CTF比赛题目,仅队内复现使用.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
2016华山杯ctf安卓题目
06-17
【标题】2016华山杯CTF(Capture The Flag)是一场专注于网络安全竞技的赛事,其中的安卓题目展示了该领域内的各种挑战与技术深度。CTF比赛通常包括逆向工程、密码学、Web安全、移动安全等多个方向,而安卓题目则...
“百度杯”CTF比赛 十一月场 Look
feng的博客
10-27 821
前言 自己还是太菜了。。这题各种考点自己一个都没做出来,真的感觉都是自己的知识盲区,还要要静下心来慢慢学习。 WP 第一个点其实可以直接绕过的,但是先不管这个。 进入环境后发现页面是空白,正确的解法是Burp抓包: 发现相应里有一个X-HT: verify 这里还是自己不够敏感啊!题目已经提示有SQL注入了,自己一直苦于不知道注入的参数名。HT其实就是hint,不过自己没有管这个是因为响应头里面X-xxxx的自己基本都不知道是什么意思,以为都是本来就有的,就没去管,导致遗漏了这个重要的信息。 因此,自己以
“百度杯”CTF比赛 十一月Mangager
wjd19980925的博客
04-13 500
“百度杯”CTF比赛 十一月Mangager
百度杯“百度杯”CTF比赛 十一月场 Reverse CrackMe01 Writeup
wangtiankuo的博客
07-25 2819
题目链接:https://www.ichunqiu.com/battalion 取文本框中内容的函数是GetWindowTextW,给GetWindowTextW下断点,运行,5次F9之后,才可以在文本框中输入字符,随便输入123456789,鼠标放在click上后就从running状态变成了Paused,继续运行,会将输入拷贝到另一个地方,然后调用PostMessage函数。 用IDA动...
hackme2靶场刷题记录
qq_53755216的博客
07-28 401
写在前面 最近看到貌似有些靶机挺好玩的 下了个靶机来玩一下 nmap扫一下端口 扫到了 直接进入 渗透开始! 猜测 search 有sql注入 sqlmap简单梭以下 没啥反应。。。 回到登录框 看看这边有没有什么搞头 直接bp扫描器一开 直接扫出了一个xss是我没想到的 payload username=admint807c%22%3e%3cscript%3ealert(1)%3c%2fscript%3eoqu8p&password=password <!DOCTYPE html&g
每日CTF Web:Mangager
sinat_40845893的博客
01-24 451
“百度杯”CTF比赛 Web:Mangager 考察点: SQL注入、数据库字段猜解 求解流程: 1 千里之行 首先进入题目,是道登录题,一般就是SQL注入。先随便试试,输入账号test密码123,提示用户名错误 输入账号admin密码123,提示密码错误, 则存在账号admin,猜测后台执行了查询账号的操作,接下来就是寻找注入点。 2 牛刀小试 测试布尔盲注,输入用户名 admin' and 1=2# 问题来了,当输入单引号时,弹出警告“iillegal character”,查看页面源码,存在三个j
CTF竞赛中的奇葩注册方式
syh_486_007的专栏
03-03 3401
最近看了来看ctftime中的比赛,看到ictf比赛,就索性点进去看看,发现,我XXXX,竟然用Python写了写了一个注册client端,需要用程序注册,现将源码更新如下,以后我们国内比赛说不定也可以参考一下: # # The iCTF game client. # # Written by subwire and the iCTF team, 2015 #
“百度杯”CTF比赛 十一月场(Misc)
andiao1218的博客
04-09 576
签到题: 题目提示: 文件在i春秋的ctf2群里,加群下载文件 下载下来之后发现有压缩密码 题目提示有提示解压密码:key:ichunqiumemeda 打开文件,得到flag 签到题2: 点击下载附件 给出的却是一串unicode码,转换一下编码 得到flag 签到题3: 一串md5:...
CTF-安全杂项(十二)
→_→
09-04 747
声明:以下CTF题均来自网上收集,在这里主要是给新手们涨涨见识,仅供参考而已。需要题目数据包的请私信或在下方留言。 23.Only one file(来源:实验吧) 1.关卡描述 2.解题步骤 分析: 把文件改成zip后缀解压: 下载附件解压后,78个无后缀的文件名有规律排序的小文件,再加上这题叫“Only...
福建闽盾杯 ctf比赛题目
08-26
福建闽盾杯CTF比赛题目是指“福建”和“闽盾杯”这两个关键词所组成的CTF比赛题目CTF(Capture The Flag,夺旗赛)是一种网络安全竞赛,旨在考验选手在网络攻防和信息安全方面的技能。 福建作为一个华南沿海...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值