CG-CTF web题(部分)

最新推荐文章于 2024-02-26 16:11:58 发布
最新推荐文章于 2024-02-26 16:11:58 发布
阅读量2.4k 收藏 21
点赞数 4
分类专栏: web 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43483333/article/details/90106813
版权

南邮CTF练习题(http://ctf.nuptzj.cn/)
记录新手努力的每一时刻!
在学习CTF之前可以先了解一下它:
CTF入门简介:https://blog.csdn.net/Fly_hps/article/details/79783253, 然后从这个网站了解一下CTF web方面大概有哪些东西,看不懂没关系,就是知道一下以后要学什么https://ctf-wiki.github.io/ctf-wiki/web/introduction/ 。在这里推荐新手使用的工具:burp suite 和winhex。
可以找一下破解版的burp,方便使用。
好了下面进入正题:

1.签到题
这里采用的是360浏览器,打开题目地址,使用工具——查看源代码即可,这里也可以使用快捷键F12/CTRL+U。
在这里插入图片描述
Flag:nctf{flag_admiaanaaaaaaaaaaa}

2.md5 collision
分析代码:
要求
$md51 = md5(‘QNKCDZO’);
a = @ a = @ a=@_GET[‘a’];
m d 52 = @ m d 5 ( md52 = @md5( md52=@md5(a);
if ($a != ‘QNKCDZO’ && $md51 == $md52) {
echo “nctf{*****************}”;md5加密,这里就多想一想,说明既要相等,又不能等于它,使用MD5进行解密:
md5(QNKCDZO,32) = 0e830400451993494058024219903391
在这里发现只要找到一个字符串在MD5加密后与其相等就可以,百度随便找一个即可,如:md5(‘240610708’)==md5(‘QNKCDZO’)
http://chinalover.sinaapp.com/web19/?a=240610708
页面出现flag:nctf{md5_collision_is_easy}

3.签到2
点击题目地址,发现以下情况
在这里插入图片描述
输入zhimakaimen,发现口令错误,使用F12/CTRL+u进行查看,得出提示:输入框:

maxlength=“10”,而zhimakaimen的长度大于10,所以在这里可以直接更改最大长度即可,输入口令:
在这里插入图片描述
Flag:nctf{follow_me_to_exploit}

4.这题不是WEB
打开题目地址,发现是一张gif的图,在这里就可以考虑一下使用工具:winhex。
将图片拖入winhex就会发现一些不太一样的地方,翻到最后一项ANSI ASCII 最后一处发现Flag。
在这里插入图片描述
flag:nctf{photo_can_also_hid3_msg}

5.层层递进
当时做这道题的时候,心里那个纠结呀,一直查找,更换,特别繁琐,不过这也许就是CTF的魅力所在了吧。
使用burpsuite抓包后,发现:
在这里插入图片描述
所以在其后缀加上404.html,即http://chinalover.sinaapp.com/web3/404.html,
在这里插入图片描述使用CTRL+u/F12查看:
在这里插入图片描述
到这里,是不是发现了些许不太一样的东西呢,咯咯咯,竖着读一下哦!
flag:nctf{this_is_a_fl4g}

6.AAencode
打开题目地址,发现是这样的:在这里插入图片描述
分析发现其实这是一段使用javascript编译的语句,在这里我们可以使用Chrome浏览器自带的工具直接解出,F12查看,将其复制到Console里,直接enter:
在这里插入图片描述
flag:nctf{javascript_aaencode}

7.单身二十年
打开题目地址,弹出:在这里插入图片描述
点击:在这里插入图片描述
嗯哼,什么情况呢?这时我们可以思考以下使用burp抓包分析:在这里插入图片描述
哈哈哈,喏,key is here.
flag:nctf{yougotit_script_now}

8.php decode
已经提示了:见到的一个类似编码的shell,请解码,所以网页搜索php在线运行,
在这里插入图片描述
flag:nctf{gzip_base64_hhhhhh}

9.文件包含
分析发现这个文件应该存在文件漏洞,则url后加入?file=php://filter/read=convert.base64-encode/resource=index.php。(http://4.chinalover.sinaapp.com/web7/index.php?file=php://filter/read=convert.base64-encode/resource=index.php)
发现是一串base64加密的indexphp。这时百度base64在线解密即可:

asdf <?php error_reporting(0); if(!$_GET[file]){echo ' click me? no';} $file=$_GET['file']; if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){ echo "Oh no!"; exit(); } include($file); //flag:nctf{edulcni_elif_lacol_si_siht} ?>

flag:nctf{edulcni_elif_lacol_si_siht}

10.单身一百年也没用
与单身20年解题思路相似,这里直接使用burp抓包分析:在这里插入图片描述
flag:nctf{this_is_302_redirect}

Rise `
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF web安全经典例讲解
10-22
该内容为CTFweb安全经理例讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种型讲解,图文结合,适合新手学习。
CG-CTF web部分wp
awxnutpgs545144602的博客
08-16 276
bin不动了,学学webWEB1,签到1f12,得到flag2,签到2给了输入窗口和密码,但输入后却显示错误,查看源码,发现对输入长度进行了限制,改下长度,得到flag3,md5 collision给了一段php,但我没有学过,经过百度,得知是考察PHP弱类型,$md51 == $md52处只要传人md5值0e\d+形式即可http://chinalover.sinaapp.com/we...
CG-CTF simple machine
YenKoc的博客
04-11 366
讲道理还是蛮坑的,有些点如果不会的话,会卡死你,然后就是代码有点长,需要有很好的耐心。 找到主函数: 这里的mmap函数,是一个分配内存的函数,主要是存放文件的,下午也是百度了下才知道,这东西对于文件的存取和共享修改的效率有很高的提高,这里就简要的认为是个分配内存空间的函数,同时360的加固反调试mmap函数会去检测traceid的值,进行反调试,虽然这种绕过也挺简单的。2333 二.加...
有了这个网络安全面试,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 756
还有兄弟不知道网络安全面试可以提前刷吗?费时一周整理的160+网络安全面试,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
cgctf-Web
baidu_39504221的博客
09-29 393
目录签到md5 collision签到2这不是WEB层层递进单身二十年php decode文件包含 签到 md5 collision md5碰撞 $md51 = md5('QNKCDZO'); //对QNKCDZO进行md5加密 $a = @$_GET['a']; //通过get方法获取a的值 $md52 = @md5($a); //对a的值进行md5加密 if(isset($a)){ //判断有无传入a if ($a != 'QNKCDZO' &&am
web渗透-CTF杂项练习
最新发布
08-11
压缩包有各种CTF杂项练习,每种型各一个部分目文件已将答案(如分离好的图片)一并包含,请细心鉴别以防做时引发误解
002-CTF web理论基础篇-第二课理论基础.pdf
07-09
CTF(Capture The Flag)是一种网络安全竞赛,其Web目主要涉及Web安全领域的知识和技巧。本篇将深入探讨CTF Web型的基础理论,帮助参赛者理解和掌握解的关键点。 1. 工具集: 在CTF Web挑战,通常会...
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛,经常出现的情况是将flag隐藏在图像、音频...
006-CTF web型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
本篇内容主要针对CTF Web实战练习进行了总结,分为入门的第一部分和第二部分,涵盖了多个不同类型的目,旨在帮助学习者提升Web安全攻防能力。 **入门第一部分** 1. **bugku-ctf 第一:成绩单** 这个目可能...
ctf大赛目 格式为图片格式
08-03
ctf比赛的部分目 格式为图片格式 英语 可以上手做联系用................................................................................
CG-CTF single
YenKoc的博客
04-10 387
一.拖入ida,先静态分析一下 发现有三个函数,点击进去看看 a1为0时,当a2[i]为0时,将自身的值赋值到该位置,a1为0时,就不需要动。 这三个函数都是在暗示这东西是个数独,每行每列,都有1到9的数字,并且不能重复。。。 把之前的数取出来,用在线的数组求解器操作一下 同时写个脚本,将之前不是零的地方改成0,就是flag shudu=[0x00, 0x03, 0x00, 0x06, ...
CG CTF WEB 综合
无限迭代中......
07-05 740
http://teamxlc.sinaapp.com/web3/b0b0ad119f425408fc3d45253137d33d/index.php 解: [][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[...
CG CTF】Crypto--easy!
VZZmieshenquan的博客
01-22 423
Description: 密文:bmN0Znt0aGlzX2lzX2Jhc2U2NF9lbmNvZGV9 这做不出来就剁手吧! Solution: 最常见的base64解密 Flag: nctf{this_is_base64_encode}
CG-CTF-Web-单身一百年
1stPeak's Blog
06-28 558
单身一百年 1.目 2.我们访问目地址,看到下图所示 3.二话不说,我们先来查看源码 4.我们看到链接是定向到index.php,但是我们点击_到这里找key__出现的却不是这个,原因是什么呢,请看下面两幅图的对比 5.由上面两幅图可以知道,这是在访问index.php的时候,被重定向了,好的,咱们来抓包!! 将被重定向的地址,修改为正确的index.php地址,注意web9也被重...
CG CTF真不是Web
qq_46389295的博客
02-23 148
目链接 查看页面源代码,发现也只有这张图片,问肯定出在图片上 将图片下载到本地以txt的方式打开 目ctrl + f 搜索nctf nctf{photo_can_also_hid3_msg}
CG CTF WEB不是WEB
无限迭代中......
07-01 339
http://chinalover.sinaapp.com/web2/index.html 解: 下载图片 记事本方式打开
https://cgctf.nuptsast.com/-web-这不是web
a3uRa的一个窝
10-13 478
下载图片 后 记事本打开
南邮 ctf web部分
h1012946585的博客
05-04 8410
1:签到 http://chinalover.sinaapp.com/web1/打开源代码:原来key在这里。 (lll¬ω¬)!!2:md5 collision http://chinalover.sinaapp.com/web19/看到源码是关于md5加密的:“QNKCDZO”那么,先看看他加密后变成什么样子。顺便推荐一个加密解密很方便的网站:http://web2hack...
ctfshow-web-web红包
07-14
ctfshow-web-web红包是一道CTF比赛的网络安全目。这道目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值