WEB-天下武功唯快不破-实验吧

最新推荐文章于 2019-08-26 07:04:00 发布
最新推荐文章于 2019-08-26 07:04:00 发布
阅读量322 收藏
点赞数
分类专栏: CTF-实验吧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42907689/article/details/87562954
版权

writeup

ps.看着题目像是要写脚本,感觉很多跟速度有关的都得写脚本
另外推荐一个炒鸡好用的ctf在线工具集http://ctf.ssleye.com/
开始看题
题目自带提示:看看响应头
打开页面发现是唯快不破的英文
那么看响应头,这里使用burp抓包
可以发现有提示
在这里插入图片描述
FLAG: UDBTVF9USElTX1QwX0NINE5HRV9GTDRHOmp6OUxmYjVVTA==
并以post方式提交参数key 大概就是这串东西解码之后的,长这样的(=结尾)基本是base64编码
解码一下:
P0ST_THIS_T0_CH4NGE_FL4G:jz9Lfb5UL
要在很短的时间里打开网页并提交post,另外这个FLAG每次请求都在变化
这里需要用到脚本,刚学一点python简单实现一下

import requests #这个第三方库需要自己pip一下
import base64
url = 'http://ctf5.shiyanbar.com/web/10/10.php' 
r = requests.get(url).headers['FLAG']
key = base64.b64decode(r).decode().split(':')[1] 
flag = {'key':key} 
print(flag) 
print(requests.post(url, data = flag).text)

运行get flag
在这里插入图片描述
CTF{Y0U_4R3_1NCR3D1BL3_F4ST!}

落花时节又逢秋
关注
专栏目录
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
杨秀璋的专栏
08-06 1万+
上一篇文章分享了解BurpSuite工具的安装配置、Proxy基础用法,并分享一个简单的暴库案例;本篇文章分享实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!
实验吧-web-wp
Iambangbang的博客
08-21 622
登陆一下好吗? 这道题目是一道技巧性的题目,显然,问题的关键在于通过语句构造使得返回报错,然而,我也并不知道如何去构造,这道题是看了一位师傅的WP才写出来的,原来万能密码可以这样用……涨知识了。 ,起初尝试万能密码,提交以后,回弹 ,发现or被过滤了。。然后我就没往后想,继续策马奔腾去了,某位师傅的做法比较高明,直接构造admin’=’进行提交,回弹flag Who are you? 点
实验吧 ctf题目 天下武功唯快不破
qq_30435981的博客
08-05 1599
  首先打开题目链接是这个页面,根据页面提示,我在想着可能跟提交刷新速度啥的有关系,先看一下源码。 根据注释里面的提示,这跟提交数据速度有关系,先抓包一下。 发现在响应头里面的flag信息,是个base64加密的。解密发现是:P0ST_THIS_T0_CH4NGE_FL4G:bO4K0gONI 后面这步参考了一些大佬的wp,这是让我们将flag信息进行base64解密,然后尽可...
实验吧-天下武功唯快不破
多崎巡礼的博客
10-10 467
There is no martial art is indefectible, while the fastest speed is the only way for long success.>>>>>> ----You must do it as fast as you can!----<<<<<< ...
实验天下武功唯快不破
Jeff_Darker的博客
08-15 1661
#小菜鸟第一次写自己的博客,不免小激动,文章如有错误,还望大佬多多指点 #学了一段时间的py,写了几个小爬虫,刚好就看到了这道题可以用爬虫来解决一下,虽然爬虫很简单,不过路是一步一步走出来的。 #言归正传 ****题目来源 http://www.shiyanbar.com/ctf/1854 看看响应头 格式:CTF{ } 标注是简单的一道题,题目也只有这一句话 先打开
实验吧——WEB-天下武功唯快不破
迷风小白
04-03 2704
天下武功唯快不破 这句话的意思是: 没有武术的不败,而最快速度是长期成功的唯一途径。 >>>>>>----你必须尽你所能的快!---- <<<<<< 查看一下源码 There is no martial art is indefectible, while the fastest speed is the only way...
web-天下武功唯快不破
diemozao8175的博客
08-26 138
没有武术是不可摧毁的,而最快的速度是获得长期成功的唯一途径。>>>>>> ----你必须尽可能快地做到这一点!---- <<<<<< 查看源码 大概就是传递POST请求 burpsuite抓包 每次提交都失败,速度不够快 ,而且每次flag的值都会变, 那么就编写一个脚本提交...
暑期练习web4:天下武功唯快不破实验吧)
qq_41618162的博客
08-05 356
老规矩,先来看看题目及hint hint是:看看响应头 这是题目 There is no martial art is indefectible, while the fastest speed is the only way for long success. —-You must do it as fast as you can!—- 翻译:没有武术是不可缺失的,而最快的速度是长期成...
网络安全自学笔记:实验吧CTF实战-WEB渗透与隐写术解析
在CTF实战中,涉及的题目类型包括但不限于:"这是什么"、"天网管理系统"、"忘记密码"、"false"、"天下武功唯快不破"以及"隐写术之水果、小苹果"。这些题目设计旨在让学习者实际操作,锻炼他们的分析和解决问题的能力...
CTF实验吧-WEB专题-2
qq_18661257的专栏
12-19 7579
1.简单的sql注入之2 题解 我们先单引号试一下发现报错,所以基本存在注入,然后我们用空格会爆SQLi detected!因此被过滤了,发现+还是%a0这些编码都会报错,所以只能用万能空格替代/**/,然后测试是否含有flag表,接着测试是否含有flag列,然而并没有什么卵用,因为这货竟然过滤了左右括号,无法用exists判断flag表是否存在,同时由于左右括号不能用,为了让判断flag表存在
实验唯快不破writeup
Radiation's Blog
12-09 1583
题目是这个样子的:点击解题链接显示如下:下面来分析这道题目,首先从题目和内容可以看出,要想得到key值,必须要快!所以十之八九是考编程题,因为你再快也快不过机器接着它题目的提示是看看响应头,可以知道我们想要的在响应头里,于是使用brupsuite拦截,查看响应头可以看到如下内容:其中有个选项是flag,值是一个base64的加密字符串,将其解密得出以下内容:到这里我就想了,不是应该考编程吗,这也不用
天下武功唯快不破
Gunther的博客
08-18 4862
http://www.shiyanbar.com/ctf/1854 天下武功唯快不破 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php 解: 题目提示:看看响应头 1.在软件开发中,我们有时会需要查看某网页请求的头部数据。尤其是POST方法的数据。使用POST方式怎么看报文: http://jin
CTF——实验吧(web总结1.1)
热门推荐
加载中...
10-19 1万+
地址:http://www.shiyanbar.com/ctf/practice 一、你能跨过去吗题目:?,你是在问我吗???你是在怀疑我的能力吗??? 解题链接: http://ctf1.shiyanbar.com/basic/xss/ 思路: 1、发现所给字串中有%+数字,怀疑使用escape加密了url,使用站长工具http://tool.chinaz.com/Tools/Escape.
小程序 wxss引入(.ttf .woff 等字体文件)
weixin_44540005的博客
03-30 6156
先准备 微信不支持外部文件夹的权限,所以先下载一个自己选中的字体,也就是ttf文件或其他的 国外网站(需要用到它把文件转为Base64编码):https://transfonter.org/ 可以看下一张图(有中文的) 步骤:1、添加字体文件如ttf 2、兑换(即下载) A、格式 我选的是ttf 这个根据以前你调用的文件格式选的 ...
天下武功唯快不破-实验
Xi4or0uji
05-08 4387
  点开看见 然后题目暗示看看响应头,结果看到flag 感觉就是base64加密,然后解密,这个时候看下页面代码还有这句 所以题目就是想要我们去拿到header的flag,base64解密,然后再在url传key     同时还发现,传过来的flag是个随机值........手动解密是不够时间的了,只能借助脚本的力量了 #coding:utf-8 import reque...
CTF writeup:实验吧,天下武功唯快不破
samohyes的博客
07-18 5770
小白也来写个writeup吧~ 由于懂点python,所以就用requests库啦~先前用这个写过爬虫,但是却没研究过什么form形式发送请求啦,所以在这里看了下相关内容:http://blog.csdn.net/junli_chen/article/details/53670887 接下来我就蠢蠢地把收到的哪个header直接送到参数里面进行Post请求了!没错,我不知道那个是bas
实验吧Writeup
千尺浪的博客
10-18 962
转载
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
最新发布
10-12
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
基于Java的学生信息管理系统的实现与操作
10-12
本文介绍了一个Java实现的小型系统 -- 学生信息管理系统,包括学生数据的增删查改四个主要操作的功能演示,并具体讲解了涉及三个核心类(Student.java、StudentManager.java、StudentFrame.java)的设计思想以及代码逻辑。适合Java初学者用来了解面向对象的概念应用以及Swing工具包进行GUI创建的基础方法和步骤。系统通过提供文本框用于输入学生ID和其他必要信息,并提供按钮来执行对应指令,显示栏展示查询结果显示,使操作变得更为简洁直观有效。 适用于初步掌握Java基础的开发者,特别是想要加强自己对面向对象编码思维理解和运用的同学。 使用此管理系统可以在本地电脑环境上进行学生的数据维护工作(如增删改查),提高学校教务工作者处理信息的效率。 除了基本的数据录入和搜索之外,该项目也帮助理解如何设计合理的模型类并使用集合存储大量数据元素,另外还介绍了如何通过事件监听的方式绑定用户行为和应用程序之间的交互流程。
亲测有效的stable-diffusion-webui安装指南
- Web UI的优势在于用户不需要在本地安装复杂的支持环境,只要有浏览器即可使用模型,极大降低了使用门槛。 3. 环境配置和安装: - 安装Stable Diffusion Web UI时,需要在本地或服务器上配置运行环境,这包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值