CTF | CTF-Web 捉迷藏

最新推荐文章于 2024-04-17 22:30:35 发布
最新推荐文章于 2024-04-17 22:30:35 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: CTF-Web实验 CTF-Web实验 文章标签: CTF-Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42646885/article/details/95321970
版权

打开网址,看到如下页面。

先查看源代码,发现页面还有一个表格和一个链接。

在样式将背景颜色改为红色后看到页面如下:

点击index链接,发现页面闪现出了绿色的字符,随机一闪而逝,好像看到了flag信息。尝试用burpsuite抓包,看下Index.php页面的信息。

burpsuite端口已默认设置好。

设置firefox浏览器的网络端口。firefox浏览器:选项-高级-网络-设置

点击确定后,打开burpsuite,在Proxy-Intercept-点击Intercept on。

在浏览器访问10.1.1.219:20111/Index.php,再查看History,打开详细看到flag的信息。

除此之外,开始的时候检查中间table有什么东西,找到控制table颜色的样改为白色:

看到table变成了一个二维码。

用微信扫描二维码后出现Key。

不过这个flag是个幌子。。。

实验总结:该实验比较简单,主要是要会使用burpsuite抓包。

burpsuit使用参考:工具 | Burpsuite简介及使用

大青呐
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-08-29 网安实验-WEB专题-捉迷藏
时光隧道
08-29 4万+
一:网页打开后界面 打开题目之后进入到页面,看到要求是要找到隐藏的flag,页面上没有什么有用的信息,我们在页面右键,然后选择“审查元素”,看看源码,发现在页面代码的最后一个P标签中,有一个超链接,目标文件是“index.php”,但是由于字体颜色是黑色,所以我们在页面中无法用肉眼发现。 我们尝试讲字体颜色改为其他的亮色,就可以在页面中看见了: 然后我们点击访问一下,发现页面总是一闪而过,而且页面的左上角,似乎有flag的字样闪过,每次还没看清flag就回到了之前的题目页面。 这个时候我们就可以知道,
Reverse-新手练习区-Hello, CTF
song_10的博客
04-24 3328
拿到的是可执行文件,运行一一下看看 让输入serial,直接到ida,搜索字符“please input” 到达后,f5查看伪代码 大致逻辑为将用户输入的字符单个与v13字串单个进行比对,然后判断是否输入正确,v13对应的字串是16进制,直接用python转换过来即可 s=bytes.fromhex("437261636b4d654a757374466f7246756e") ...
捉迷藏游戏
11-14
本软件基于Delphi 7,实现鼠标与图片之间的捉迷藏,鼠标在界面上行走,图标比鼠标走的更快,是永远也追不上,像是小时候玩的捉迷藏游戏一样
CTF-WEB篇 攻防世界题目实战解析backup
最新发布
2301_76565920的博客
04-17 231
题目:backup 难度:1 备份文件的获取
[HECTF] 捉迷藏
weixin_51804748的博客
11-14 387
一道简单的misc题,下载附件后打开压缩包 解压后打开docx文档 打开后是纯文字,首先想到可能是隐写 打开隐藏文字后发现也并无用处 使用010打开该文档后发现有PK开头,于是可以尝试压缩包打开 打开后发现是xml文件 查看各个文件后发现可疑信息,由括号组成的js代码,可在控制台中直接运行,由于文件中的括号代码有很多段,尝试拼接后在控制台运行 控制台运行后得到flag ...
《猫鼠游戏》想到的CTF场景。。。。。
coloic的博客
07-18 610
一:电影简介 《猫鼠游戏》是一部电影,也称《逍遥法外》(英文名:Catch Me If You Can,即:有种来抓我),是由斯蒂文.斯皮尔伯格执导的一部经典电影,以欺骗艺术为主题,把社会工程学演绎得淋漓尽致。 二:剧情简介 影片主要描述了FBI高级探员卡尔,与欺骗大王弗兰克之间,上演的一场场猫捉老鼠的游戏。...
2022HECTF部分WP
qq_63928796的博客
11-07 566
扫描目录找到找到/.htases目录提示访问之后,看路由去1目录提示hebnu,之后让用post方式,返回后是乱码可以用谷歌插件之后改referer头flag在ctf库下的3eDf4f07efC9ee16表下flag字段。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-web学习大纲
01-30
CTF-web学习大纲
CTF i春秋从0刷题 MISC
XY_4
07-13 2375
1、 分值:20分类型:MiscStego题目名称:A 题目是一个.cap文件。根据提示和wireshark分析一下需要查dns。扔到kali里爆破密码。过程不赘述,直接上截图。 这里看题目分值应该是纯数字,所以找了个纯数字字典很快就出来了。 得到dec。dns过滤。 这里居然不是第一个google。提示却是第一个网站。辣鸡提示! ...
UNCTF2020的奇妙之旅-----Crypto&Misc部分wp
laffey的博客
11-16 1229
UNCTF2020的奇妙经历-----Crypto&Misc部分wp Crypto 1.easy_rsa 题目: from Crypto.Util import number import gmpy2 from Crypto.Util.number import bytes_to_long p = number.getPrime(1024) q = number.getPrime(1024) if p > q: a = p + q b = p - q print(a,
十五个Web狗的CTF出题套路
m0_59598029的博客
09-25 364
一、爆破,包括包括md5、爆破随机数、验证码识别等二、绕WAF,包括花式绕Mysql、绕文件读取关键词检测之类拦截三、花式玩弄几个PHP特性,包括弱类型,strpos和===,反序列化 destruct、\0截断、iconv截断、四、密码题,包括hash长度扩展、异或、移位加密各种变形、32位随机数过小五、各种找源码技巧,包括git、svn、xxx.php.swp、*www*.(zip|tar.gz|rar|7z)、xxx.php.bak、
sqlmap tamper脚本_CTF小白入门- Sqlmap 安装及使用
weixin_39537049的博客
11-26 318
Sqlmap 简介及安装Sqlmap 是开源的可以自动检测并利用sql漏洞的渗透测试工具。CTF题目中经常遇到 sql注入题目,如果题目比较简单可以直接通过Sqlmap 拿到flag。Sqlmap 是基于python开发的工具。如果在Linux 系统中使用Sqlmap 直接下载源码安装即可。如果要在Windows系统中使用Sqlmap ,需要先安装python环境。http://sqlmap.or...
unctf2020部分题解
tansty_zh的博客
11-15 3930
⭐unctf2020 **是团队中人写的wp,本人经其同意进行转载 友联:https://www.cnblogs.com/Jlay/p/unctf_2020.html** ⭐misc 1、baba_is_you 题目告诉我们,了解png文件格式。 下载得到一张png格式的图片。 用010editor打开查看,发现最后含有一个B站网址 https://www.bilibili.com/video/BV1y44111737 访问,查看评论区得到flag flag: unctf{let
超菜鸟级ctf2
kid的博客
05-02 3630
超菜鸟级ctf2 前言 前不久参加了一个比较low的ctf选拔赛吧。但也算见识了下正式的ctf比赛是怎么样,题的难度和这些菜鸟级的题是不能比了,我感觉里面最简单的一道都比这里最难的一道难… 慢慢来吧… 这次来进行第二次的超菜鸟级ctf的继续练习 题目 躲猫猫 那道题也很懵逼的,第一次见到这种题,但打开html源码 是的你就看到flag了…很无语的一道题啊… 地下通道 这道题和上面很相...
HECTF2022
mumuzi的博客
11-08 2978
今年是第三次参加HECTF,成绩不是很好wp随便看看就好了 文章目录Misc咦~小鲨鱼来喽舞者的秘密你把我flag藏哪去了?来玩捉迷藏呀我的手要不行辣2022HECTF调查问卷Crypto流动的音符matrixezrsamixtureReverseapk贝斯helloiosrunWeb迷路的小狮擎天注Pwn真·签到 Misc 咦~小鲨鱼来喽 直接打开流量包翻tcp流量即可 HECTF{i0hate0flow0analysis896} 舞者的秘密 直接爆破压缩包得到密码为456123,接着用GIFFram
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值