Incognito CTF 3.0部分WP及赛后复现

已于 2022-04-26 19:42:40 修改
阅读量537 收藏 2
点赞数 1
文章标签: 网络安全
于 2022-04-26 19:31:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45862635/article/details/124435240
版权

ictf部分wp及赛后复现

Web

Invisible

We found an illegal forum but are unable to access due to it being invite only…
Can you get past it?

打开网页,除了代码雨别的都看不到,查看源码

发现页面中还存在其他东西,但是被代码雨盖住了,删除就能看到背后的东西

看页面元素可知有一个输入框,要输入邀请码,为了好看我用burp抓了下包

尝试用万能密码" or 1=1 or "登录,登录成功,得到flag ictf{w41t_y0u_4r3_1nv1t3d??_29983213}

之后发现输入admin也能登录成功

OSINT

ictf

Check out Equinox’s official handles

一开始我在Google上搜了一下关键词Equinox’s official handles,找不到啥有用的信息
后来在ctftime上Incognito的简介里发现有用信息

Google一下,找到网站

右下角打开官方的ins,找到与这个比赛有关的帖子,flag就在评论区

Who am I

@change_899

很明显这应该是个账户名,于是我用https://checkusernames.com/搜索了一下,发现不存在这个账户

猜测可能账户被删除了,想起曾经另一个国外比赛(记不清是哪个比赛了)的赛后WP里,有个国外的师傅用过一个可以查看被删除的网址/账户的网站,于是使用waybackmachine搜索一下(需要magic上网)

发现账户确实曾经存在过

找到这个账户,在评论里发现flag

The Mission begins

flag - ictf{yt_link_here}

当时做这题的时候我是一脸懵逼的,啥信息都没给,完全无法下手。
后来管理员在discord里说题目之间有联系,于是重新打开上题中的twitter,发现信息

题目给的信息提示flag是YouTube链接,而这里正好说到她有YouTube,搜索一下(类型选择频道)

点开第二个的主页,可以确定这就是我们要找的

Cryptography

Coooordinates

45 39 410 410 34 35 36 34 54 36 45 310 35 36 47 34 45 410 42 46 37 37
Wrap the flag in ictf{}

一开始拿到题目我确定不了这是什么密码,还以为是坐标画图,但数据又太少而且这又是道密码题,于是我在decode网站里搜索了下关键词Coordinates,发现一种键盘密码的密文特征跟这题比较相似

尝试解密一下,得到明文ictf{FILLERTEXTFORTHEFLAGZZ}

Crypto0

Race Car goes vroooooooooooooom vroooooooooooom
this_key_is_a_bit_annoying>_<

下载附件打开,发现一长串疑似base64的编码,放到CyberChef里跑一下

跑了好几轮,但是结果却是一串乱码,想起题目提示的key还没有用,尝试下异或

得到flagictf{well_this_was_ea4y_@348}

Crypto1(赛后)

题目给的附件打开,发现是一长串,毫无头绪。

看了大佬的WP后得知用这个网站解密https://www.guballa.de/substitution-solver

最后即是flagictf{cngtultinsforfindingdis}

Misc

Sanity Check

discord里自己找

f**k

给了个链接,打开之后下载了一个页面

蓝色区域形成一个大脑,提示也很明显了,Brainfunk解密

flag ictf{faaaack_2366345890}

Something in the details(赛后)

打开压缩包,发现都是没有后缀名的文件,010打开也没发现啥有用信息
结束后看了题解,flag被拆开后倒叙分散在其中一个文件中,只能怪当时看hex没发现了

Steganography

xD

下载下来一个jpg,发现打开没有图片内容,用010打开看一下

文件头乱序,修改一下并保存,打开得到flag

Have you seen our logo?

题目提到了本次比赛的logo,那就去看看主页的logo

找到图片,下载下来用exif信息查看器打开,发现没有有用信息,用010打开后也没有发现可利用信息。

后来做题时发现页面左上角有个小的与主页一样的logo,但是发现它们的文件路径不一样

猜测这两张应该是不一样的图片,于是下载图片,再用exif信息查看器打开,发现一串base64编码

多轮base64解码即可得到flag ictf{h1dd3n_1n_l0g0_bc34889}

剩下的之后有时间再慢慢复现补充吧

Briyney
关注
ctf(vip限免)WP
qq_62517352的博客
04-09 3352
源码泄露 看题就是要我们看源码,在浏览器里 Ctrl + U 直接查看网页源码,这里也是可以直接看到flag 前台JS绕过 这个题就是不能用F12进行查看源码了,我们的 Ctrl + U 还是可以用的,直接可以得到flag 协议头信息泄露 题目提示要我们抓包,那就抓,抓完这样,什么也没看到 上网搜搜原来是要查看响应头,才能得到flag,记录一下查看步骤,一免以后忘记 先点图示位置 这里点击 Repeater 再点 Go ,就可以在右边看到flag robots后台泄露 robots之前做过,就是在
is-incognito-mode::bust_in_silhouette:用于识别浏览器是否处于隐身模式的功能:eyes:
04-28
const isIncognito = require ( 'is-incognito-mode' ) . default ; /* Function returns Promise, which could be: - resolved with true, if Incognito mode is opened - resolved with false, if regular win
ctf wp
qq_63267612的博客
04-03 2909
文章目录被嗅探的流量镜子里的世界隐藏的钥匙另外一个世界神秘龙卷风[第一章 web入门]常见的搜集web签到 被嗅探的流量 下载后打开题目没有思路,查看别人的wp发现是文件传输找POST的包,用wireshark追踪http流量 http.request.method==POST在文件末尾找到flag 镜子里的世界 打开后是一张图片,隐写套路,查看属性,用winhex打开都没发现什么有用的信息,这时注意到图片名steg想到了用stegslove打开图片,查看图片并没有发现有用的信息,调整后发现flag 隐
2024年网络安全最新CTF_WP-攻防世界web题解
最新发布
2401_84215240的博客
08-15 1371
参考:https://www.cnblogs.com/gradyblog/p/16989750.html查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile。
BugkuCTF wp
lnjoy
02-11 991
MISC 签到题 扫码关注微信公众号即可获得flag 这是一张单纯的图片 用UE打开如图,在ascii码最下面发现一串编码,发现是字符实体编码。 https://www.qqxiuzi.cn/bianma/zifushiti.php 网站在线解码可得flag 隐写 打开图片,先用stegsolve跑一边没有发现什么,LSB也没有什么,用UE打开也没有什么奇怪的。用binwalk跑一边,没有隐藏文...
ctf-wp-blog
dahege666的博客
12-18 234
包含知识点:爆破、git信息搜集 主页中有一条“该博客为青龙鼎科技(qinglongdingkeji.com)官方技术播客”,这条信息是有些可疑的,也是最重要的,访问这个这个网站后不能访问,然后到github去搜一下,搜索英文名没有找到,搜扫中文名有一条信息 点开后这个项目是空的,但是issues有一条信息 Issues里面的一条提示像一个文件名+一个参数,添加到题目链接后去访问是可以访问的 尝试爆破一下uid参数,使用burp截取 然后转发到Intruder模块进行爆破
CTF比赛部分wp
1stPeak's Blog
09-23 1762
1、签到题 Base64解密 2、取证分析 链接:https://pan.baidu.com/s/1ApHO_UnIzKyK2TDNOxzaEQ 提取码:7fh4 使用vi -r 查看,cat有时也可行 3、图片隐写 题目: (1)使用Imagej打开该图片 (2)依次选择Process-Math-XOR,XOR值为10011111 (3)依稀发现隐藏的flag,ctrl+shift+T调节颜色,找到flag 4、数据包分析 链接:https://pan.baidu.com/s/16YgH
Search Incognito-crx插件
03-19
通过将可能跟踪到的搜索重定向到以隐私为重点的搜索引擎Search Incognito,可以使您的搜索保持私密。 大公司会跟踪您的搜索并在Internet上关注您。通过将可能跟踪到的搜索重定向到以隐私为重点的搜索引擎Search ...
Incognito Mode-crx插件
04-04
"匿名模式-crx插件"是一款专为Chrome浏览器设计的扩展程序,它的主要功能是帮助用户自动清除浏览历史中的敏感信息,从而保护用户的隐私。在日常网络活动中,我们经常访问一些不想被他人知晓或者不希望在浏览记录中...
Incognito Search-crx插件
04-04
请仔细阅读:单击上方右上角的“免费+添加到Chrome”按钮并安装Incognito Search新标签页浏览器扩展程序,即表示您同意安装此应用程序,并同意最终用户许可协议和隐私权政策并接收将来的任何更新和升级。 您可以随时...
Google Chrome 3.0.195.38
04-03
7. **隐私设置**:Chrome 3.0提供了隐私浏览模式(Incognito Mode),在这种模式下,浏览器不会保存用户的浏览历史、cookies或临时互联网文件,保护用户的隐私。 8. **扩展支持**:虽然3.0版本的扩展库可能还不是很...
Incognito 4.0 CTF Write Up
02-19 147
Incognito 4.0 CTF Pwn&Crypto&PyJail&Web Write Up
ctf wp 汇总
freshfox的博客
07-06 1139
ctf
CTF-show部分wp
鹧鸪的起点
04-02 367
ctfshow愚人杯部分wp
CTF校赛总结wp【web】
qq_57356551的博客
05-13 413
作为ctf的小白,也是借着学校组织ctf比赛的机会锻炼了一下自己,总的来说,还是有蛮多收获的,理解了一些平时没弄懂的问题,也对接下来的学习有了一个方向,话不多说,记录一下wp
CTF练习题WP1
m0_73891130的博客
03-25 639
自己写的CTF常用网站的练习题目的WP,当然也有参考网上的大佬的WP
第二届网刃杯CTF-wp
qq_45603443的博客
04-26 842
第二届网刃杯CTF-wpWebez_javaezjsSign_inuploadReez_algorithm定时启动Re_functionfreestyleMisceasyiecTip Web ez_java package me.su; import org.springframework.expression.common.TemplateParserContext; import org.springframework.expression.spel.standard.SpelExpressionPar
CTF】Web反序列wp
毅哥的博客
12-30 283
一道关于反序列法的web题 <?php error_reporting(0); $name=$_GET['name']; $age=$_GET['age']; $pop=$_GET['pop']; if(isset($name) && isset($age)){ $word = unserialize($pop); if($word->cname($name,$age)){ $word->cflag(); }e
南邮 ctf wp
天跃
08-02 449
1.  这题主要就是考察对PHP和shell的理解,在网上找一个PHP的在线代码运行就好https://tool.lu/coderunner/,执行的时候发现有错误,也告诉你哪错了,仔细分析一下就出来了。eval()函数会执行括号里面的语句,这种代码在现实中一般是某个黑客上传的一句话马,但在这里eval里面肯定就是flag了,将eval改成echo即可 flag:nctf{gzip_ba...
option.add_argument('--incognito')
06-10
option.add_argument('--incognito')是Chrome浏览器的一个启动参数,用于启动浏览器的隐身模式。 在隐身模式下,Chrome浏览器不会保存用户的浏览记录、cookie、表单数据等信息,用户在隐身模式下的浏览行为不会被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值