笔记
yu jian
努力创造成功
展开
-
buuctf做题记录
crypto权限获得第一步1首先我们下载文档,然后看到一串字符串:Administrator:500:806EDC27AA52E314AAD3B435B51404EE:F4AD50F57683D4260DFD48AA351A17A8:::可以观察一下806EDC27AA52E314AAD3B435B51404EE,F4AD50F57683D4260DFD48AA351A17A8它们都是32位,很明显这个是md5加密(MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了原创 2020-12-01 20:15:50 · 1761 阅读 · 0 评论 -
爬虫前序
什么是爬虫?通过编写程序模拟浏览器上网,然后让其去互联网上抓取数据的过程网络爬虫:是一种自动获取网页内容的程序,是搜索引擎的重要组成部分。网络爬虫为搜索引擎从万维网下载网页。一般分为传统爬虫和聚焦爬虫。爬虫的价值:抓取互联网上的数据,为我所用,有了大量的数据,就如同有了一个数据银行一样,下一步做的就是如何将这些爬取的数据产品化,商业化,它同时也在我们以后的就业和实际应用中意义重大深入探究它在法律中不被禁止,但是它具有违法风险敲黑板;下列三种情况,爬虫有可能违法,严重的甚至构成犯罪:1.爬原创 2020-11-22 11:39:23 · 285 阅读 · 0 评论 -
第十周刷题记录
MiscezJPG首先我们打开题目所给的图片然后我们把它放到StegSolve中,我们首先点击File->Open,然后找到那张图片放进去,这里图片不能直接拉进去,我们这里要注意一下它的后缀jpg,然后点击Analyse->Frame Browser然后我们点击>,看一下有没有其他的动图,然后就看到答案了补充:Analyse里面几个功能键作简单介绍:File Format:文件格式,这个主要是查看图片的具体信息Data Extract:数据抽取,图片中隐藏数据的抽取F原创 2020-11-15 20:50:31 · 262 阅读 · 0 评论 -
开学第八周刷题总结
Cryptoold-fashion 1打开文本我们发现一串比较长的字符Os drnuzearyuwn, y jtkjzoztzoes douwlr oj y ilzwex eq lsdexosa kn pwodw tsozj eq ufyoszlbz yrl rlufydlx pozw douwlrzlbz, ydderxosa ze y rlatfyr jnjzli; mjy gfbmw vla xy wbfnsy symmyew (mjy vrwm qrvvrf), hlbew rd symmye原创 2020-11-03 21:41:55 · 433 阅读 · 0 评论 -
凯撒加密解密的python脚本
恺撒密码 恺撒密码(英语:Caesar cipher),或称恺撒加密、恺撒变换、变换加密,是一种最简单且最广为人知的加密技术。它是一种替换加密的技术,明文中的所有字母都在字母表上向后(或向前)按照一个固定数目进行偏移后被替换成密文。例如,当偏移量是3的时候,所有的字母A将被替换成D,B变成E,以此类推,如图所示所以整原创 2020-10-25 11:12:39 · 1278 阅读 · 2 评论 -
PHP的变量范围
局部变量定义:也称作内部变量,局部变量是在函数内定义的,其作用域仅限于函数内部,离开函数后再使用这种变量就是非法错误的!注意:1.主函数中定义的变量也只能在主函数中使用,不能在其他函数中使用。2.允许在不同的函数中使用相同的变量名,他们代表不同变量,分配不同的存放单元,互不相干,不会发生混淆。3.复合语句中定义的变量,只限于使用当前函数中,也是复合语句的局部变量,复合语句:就是用{}包含起来的语句块。4.形参变量、在函数体内定义的变量都是局部变量。实参给形参传值的过程也就是给局部变量赋值的过程。原创 2020-10-18 20:20:35 · 305 阅读 · 0 评论 -
开学第六周刷题记录
Misc镜子里面的世界1打开附件,一张图片映入眼帘首先我想到了,把它丢到winhex中看一下有什么发现没有然后无果,再看看它有没有用到隐写,这里就要用到一个软件了,隐写图片查看的神器------stegsolve,具体说一下它吧,这个需要电脑上配置一下java环境,配置好它就可以直接打开使用了它的主要供能为analyse,Analyse里面几个功能键作简单介绍:*File Format:*文件格式,这个主要是查看图片的具体信息*Data Extract:*数据抽取,图片中隐藏数据的抽取*Fra原创 2020-10-15 18:26:35 · 272 阅读 · 0 评论 -
PHP-自定义函数
函数的定义函数库并不是定义函数的php 语法,而是编程时的一种设计模式。函数是结构化程序设计的模块,是实现代码重用的核心。为了更好的组织代码,是自定义的函数可以在同一个项目的多个文件中使用,通常将多个自定义的函数组织到同一个文件或多个文件中funtion 函数名(参数1,参数2,…参数n){函数体;//任何有效的PHP代码都可以作为函数体使用return 表达式;//可以从函数中返回一个值,也可以不返回}1.函数以function开始2.function后面接空格,空格后接函数名3.函数名与原创 2020-10-11 15:07:49 · 862 阅读 · 0 评论 -
开学第五周刷题记录
CryptoWindows系统密码首先拿到题目,我们打开看一下,它后缀是.hash,双击之后我们发现打不开,这种情况有两种原因,一是我们没有安装相应的软件,二是该文件被毁坏了,然后我们尝试用记事本打开看一下,结果发现原来重点在这:Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::ctf:1002:06af9108f2e1fecf144e2e8adef09efd:a7fcb22a8原创 2020-10-11 10:54:13 · 1805 阅读 · 5 评论 -
XXE漏洞
理解XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础,下面我们先了解一下xmlXML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。基本利用通常攻击者会原创 2020-10-05 12:08:27 · 187 阅读 · 0 评论 -
开学第四周刷题总结
Crypto萌萌哒的猪八戒题目:萌萌哒的八戒原来曾经是猪村的村长,从远古时期,猪村就有一种神秘的代码。请从附件中找出代码,看看萌萌哒的猪八戒到底想说啥 注意:得到的 flag 请包上 flag{} 提交接下来我们下载附件刚开始不知道下面的那些符号是什么意思,就想着先丢到winhex中看一下有没有什么发现,结果没有什么发现,然后我们就研究一下这下面的一串字符吧,上网查了一下才知道这个是猪圈密码对照着这个表我们就能解出来里面的flag了Miscwireshark打开题目压缩包之后,我的界面直接跳转原创 2020-10-04 19:46:37 · 464 阅读 · 2 评论 -
文件上传漏洞
文件上传漏洞Web应用程序通常会有文件上传的功能, 例如在 BBS发布图片 , 在个人网站发布ZIP 压缩 包, 在办公平台发布DOC文件等 , 只要 Web应用程序允许上传文件, 就有可能存在文件上传漏 洞.文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。。什么样的网站会有文件上传漏洞大部分文件上传漏洞的产生是因为Web应原创 2020-09-27 10:10:58 · 307 阅读 · 0 评论 -
HTML DOM
HTML DOM 节点在 HTML DOM (文档对象模型)中,每个部分都是节点:文档本身是文档节点所有 HTML 元素是元素节点所有 HTML 属性是属性节点HTML 元素内的文本是文本节点注释是注释节点HTML DOM Document 对象Document 对象每个载入浏览器的 HTML 文档都会成为 Document 对象。Document 对象使我们可以从脚本中对 HTML 页面中的所有元素进行访问。提示:Document 对象是 Window 对象的一部分,可通过 wind原创 2020-09-27 09:47:38 · 141 阅读 · 0 评论 -
开学第三周刷题总结
WEB题disabled_button首先我们打开场景链接http://220.249.52.133:57930这个按钮确实不能按,那我们就打开它的源码看一下吧我们发现了disabled=" "MISC题掀桌子首先我们打开题目,c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2我们观察题目可以发现题目中的原创 2020-09-24 14:17:32 · 290 阅读 · 0 评论 -
可执行代码和命令执行
代码执行代码执行(Executable Code) 是指将目标代码连接后形成的代码,简单来说是机器能够直接执行的代码,可执行代码当然也是二进制的。源代码(也称源程序)是指未编译的按照一定的程序设计语言规范书写的文本文件,是一系列人类可读的计算机语言指令。在计算机程序设计中,一般建议将源代码与可执行代码分离存储。问题在于不同平台下编译出来的可执行代码是不同的,例如一个程序复制到不同的电脑上,即便代码不做任何修改,VI也会被修改,因为VI中包含的可执行代码变了。理论上,可执行代码与源代码分离开来,可以提高程原创 2020-09-20 15:30:52 · 1891 阅读 · 1 评论 -
开学第二周刷题总结
开学第二周刷题总结Web题*View-source我们首先点开场景,我们会获得一个地址 http://220.249.52.133:31259然后我们打开会看到这张图片看到这我们发现flag不在这,然后我们点击查看它的源码(点击F12),我们就可以看到藏在这的答案了此题补充:view-source是一种协议,早期基本上每个浏览器都支持这个协议。后来Microsoft考虑安全性,对于WindowsXP pack2以及更高版本以后IE就不再支持此协议。但是这个方法在FireFox和Chrome浏览器原创 2020-09-19 18:03:05 · 308 阅读 · 0 评论 -
RSA算法
RSA算法RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。RSA是非对称的,也就是用来加密的密钥和用来解密的密钥不是同一个。RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。在公开密钥密码体制中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(原创 2020-08-30 14:50:01 · 2385 阅读 · 1 评论 -
第七周刷题记录
第七周刷题记录大帝的密码首先我们直接是打不开题目的,然后我们稍微修改一下压缩包,修改后缀名为.zip打开:题目.txt:公元前一百年,在罗马出生了一位对世界影响巨大的人物,他生前是罗马三巨头之一。他率先使用了一种简单的加密函,因此这种加密方法以他的名字命名。以下密文被解开后可以获得一个有意义的单词:FRPHEVGL你可以用这个相同的加密向量加密附件中的密文,作为答案进行提交。密文.txt:ComeChina得到题目信息之后我们开始做题,可以看到偏移量是13的时候密文变成sorcery,好像原创 2020-08-22 15:19:13 · 385 阅读 · 0 评论 -
一些编码
一些编码base16编码Base16编码使用16个ASCII可打印字符(数字0-9和字母A-F)对任意字节数据进行编码。Base16先获取输入字符串每个字节的二进制值(不足8比特在高位补0),然后将其串联进来,再按照4比特一组进行切分,将每组二进制数分别转换成十进制,在下述表格中找到对应的编码串接起来就是Base16编码。可以看到8比特数据按照4比特切分刚好是两组,所以Base16不可能用到填充符号“=”。Base16编码后的数据量是原数据的两倍:1000比特数据需要250个字符(即 250*8=20原创 2020-08-19 09:37:01 · 700 阅读 · 0 评论 -
第六周刷题总结
第六周刷题总结[BJDCTF 2nd]cat_flag打开题目我们可以看到一张图片刚开始看到图片有点思路都没有,然后我们再仔细看一看图片中只有两种小猫咪然后我们试着把它转换成二进制可得01000010010010100100010001111011010011010010000101100001001100000111111001111101然后我们再把它转换成十六进制再利用转换的十六进制继续转换成文本然后我们就可以看到题目的答案了RSA题目:在一次RSA密钥对生成中,假设p原创 2020-08-15 21:37:15 · 210 阅读 · 0 评论 -
密码集
密码集摩斯密码摩尔斯电码也被称作摩斯密码,是一种时通时断的信号代码,通过不同的排列顺序来表达不同的英文字母、数字和标点符,是一种早期的数字化通信形式。不同于现代化的数字通讯,摩尔斯电码只使用零和一两种状态的二进制代码它的代码包括五种:短促的点信号“・”,读“滴”(Di)保持一定时间的长信号“—”,读“嗒”(Da)表示点和划之间的停顿、每个词之间中等的停顿,以及句子之间长的停顿。栅栏密码栅栏密码,就是把要加密的明文分成N个一组,然后把每组的第1个字连起来,形成一段无规律的话。 不过栅栏密码本身有一原创 2020-08-15 10:11:05 · 607 阅读 · 0 评论 -
第五周刷题总结
第五周刷题总结隐藏的钥匙首先我们看一下题目然后得到一张图片我们把它丢到winhex中,然后搜索flag得到根据提示,我们对Mzc3Y2JhZGRhMWVjYTJmMmY3M2QzNjI3Nzc4MWYwMGE=进行base64解码这样我们所需要的flag就出来了easycap我们打开题目可以看到文件的后缀是.pcap用wireshark打开。分析—>追踪流—>TCP流我们就可以看到flag了另一个世界打开题目我们可以看到一张jpg图片我们把它丢到winhex中我们会发现后面都是原创 2020-08-09 10:23:38 · 418 阅读 · 0 评论 -
第四周刷题记录
第四周刷图记录N种解决方法首先,我们浏览题目,发现题目提示中的KER.exe无法打开,所以我们先把它放进winhex中我们可以观察到它是jpg格式,并且与base64编码有关的,我们可以想到base64编码可以转换成图片,所以我们就利用在线工具,得到一张二维码的图片利用手机扫描二维码可以得到KEY{dca57f966e4e4e31fd5b15417da63269}我们把它换成flag{}就可以提交了基础破解首先我们观察题目:给你一个压缩包,你并不能获得什么,因为他是四位数字加密的哈哈哈哈哈哈哈原创 2020-08-02 10:56:14 · 1743 阅读 · 0 评论 -
隐写
隐写隐写术就是将秘密信息隐藏到看上去普通的信息(如数字图像)中进行传送。现有的隐写术方法主要有利用高空间频率的图像数据隐藏信息、采用最低有效位方法将信息隐藏到宿主信号中、使用信号的色度隐藏信息的方法、在数字图像的像素亮度的统计模型上隐藏信息的方法、Patchwork方法等等。当前很多隐写方法是基于文本及其语言的隐写术,如基于同义词替换的文本隐写术,an efficient linguistic steganography for chinese text一文章就描述采用中文的同义词替换算法。其他的文本的隐原创 2020-07-31 18:00:37 · 2002 阅读 · 0 评论 -
第三周刷题总结
第三周刷题总结Quoted-printable1首先我们得到题目提示=E9=82=A3=E4=BD=A0=E4=B9=9F=E5=BE=88=E6=A3=92=E5=93=A6然后理解一下Quoted-printable编码,Quoted-printable编码Quoted-printable可译为“可打印字符引用编码”,编码常用在电子邮件中,如:Content-Transfer-Encoding: quoted-printable ,它是MIME编码常见一种表示方法! 在邮件里面我们常需要用可打印的原创 2020-07-26 11:53:53 · 4466 阅读 · 0 评论 -
XXS攻击
XXS攻击XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。类型从攻击代码的工作方式可以分为三个类型:(1)持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据原创 2020-07-24 08:10:30 · 2206 阅读 · 1 评论 -
第二周刷题总结
第二周刷题总结[BJDCTF 2nd]签到-y1ng1打开可以看到这个界面welcome to BJDCTF1079822948QkpEe1czbGMwbWVfVDBfQkpEQ1RGfQ==看到这个,突然想起了前些时间做的那个题于是直接开始用base64解码,就可以得到flag看我回旋踢打开题目可以看到synt{5pq1004q-86n5-46q8-o720-oro5on0417r1}观察这一串数字可得synt分别移动13就可以变成flag,理解一下题目,回旋踢好像是和rot13有关的原创 2020-07-18 21:34:39 · 1020 阅读 · 0 评论 -
SQL注入
SQL注入报错注入语句1、通过floor报错,注入语句如下:and select 1 from (select count(),concat(version(),floor(rand(0)2))x from information_schema.tables group by x)a);2、通过ExtractValue报错,注入语句如下:and extractvalue(1, concat(0x5c, (select table_name from information_schema.table原创 2020-07-17 13:54:56 · 168 阅读 · 0 评论 -
第一周刷题总结
第一周刷题总结url编码下载题目后我们会得到一串数字类型的编码%66%6c%61%67%7b%61%6e%64%20%31%3d%31%7d,根据提示我们找到url编码转换器然后转换成我们需要的flag{and 1=1}一眼就解密首先我们得到提示ZmxhZ3tUSEVfRkxBR19PRl9USElTX1NUUklOR30=其实看过之后我感觉有点懵,然后就百度了一下,发现了它属于base64编码,是一种编码方式。把3个8bit变成4个6bit。然后不足补0,符号是’=’. 然后还有一张表。然后发原创 2020-07-12 08:32:34 · 892 阅读 · 0 评论 -
SQL注入之万能密码
SQL注入之万能密码SQL注入的万能密码实际上是利用了网址后台的漏洞,打开下面的网址不用密码和账号也可以登录后台http://www. .com/admin/admin_login.asp账号:djlfjdslajdfj(随意输入)密码:1‘or’1’=‘11. 用户进行用户名和密码验证时,网站需要查询数据库。查询数据库就是执行SQL语句。用户登录时,后台执行的数据库查询操作(SQL语句)是:【Selectuser_id,user_type,email From users Where us原创 2020-07-09 20:31:08 · 23467 阅读 · 0 评论 -
正则表达式
正则表达式1.理解正则表达式正则表达式描述了一类字符串的特征,通过这个特征与特定的函数配合,对于其他的字符串进行匹配、查找、替换及分割操作。定界符一般习惯使用正斜线“/”作为定界符,前后一致。除了字母、数字、和反斜线以外的字符都可以作为定界符。2.元字符在正则表达式有特殊含义\d:代表0~9之中的任意一个数字\D: 代表除了0~9之外的任意一个字符\s :任意一个空白字符\S:除空白字符之外的任意一个字符\w: 匹配任意一个数字或字母或下划线\W:匹配除数字、字母、下划线以外的任意一个字原创 2020-05-17 10:49:14 · 281 阅读 · 0 评论 -
图片信息总结
题后总结看图片属性1>右键直接查看属性就可以找到所藏的SL2>kali输入exiftool加图片也可以看到SL隐藏在字节中把图片直接放入winhex中,直接搜索文本SL或flag修改图片的宽和高把图片拉入winhex中,第二行的前4个字节是图片的宽度,后5~8个是图片的高度,然后进行相应的修改即可补充头部这个图片为png图片,所以把图片放到winhex补充它的头部即可,但不要直接改变...原创 2020-04-12 15:05:48 · 378 阅读 · 0 评论 -
png,jpg,gif图片整理
png,jpg,gif图片整理PNG它属于可移植网络图形格式文件便携式网络图形是一种无损压缩的位图片形格式,其设计目的是试图替代GIF和TIFF文件格式,同时增加一些GIF文件格式所不具备的特性。PNG使用从LZ77派生的无损数据压缩算法,一般应用于JAVA程序、网页或S60程序中,原因是它压缩比高,生成文件体积小。PNG头文件格式分析//摘至百度00000000h: 89 50 4E ...原创 2020-04-09 10:22:53 · 446 阅读 · 0 评论 -
2020-04-06
初始PHP一.初始PHP1.php开始标记<?phpphp结束标记?><?php?>2.界面可以通过html,css,js来最终展示3.PHP代码可以嵌入到html的任意位置,并且可以嵌入任意多个4.文件末尾的?>可以省略二.指令分隔符“;”1.在一些PHP语句的结尾要加上,表示一句话的结尾,否则程序会执行不了,会报错2.结束标记?>就隐...原创 2020-04-06 15:59:21 · 143 阅读 · 0 评论 -
2020-03-01
联合查询联合查询可分为内联,外联,交叉连接和全联 联合查询具有效率高的特点,联合查询是可合并多个相似的选择查询的结果集。等同于将一个表追加到另一个表,从而实现将两个表的查询组合到一起。内联:内连接是通过查询中设置连接条件的方式,来移除查询结果集中某些数据后的交叉连接,简单的来说,就是利用条件表达式来消除交叉连接的某些数据行。 内连接又分为等值连接、自然连接和不等连接三种。外连接:分为...原创 2020-03-01 16:35:55 · 135 阅读 · 0 评论 -
2020-02-25
Hexo的搭建过程作为新生小白,第一次搭建自己的博客时,遇到好多不懂的问题,经历很长时间的奋斗终于搭建成功了,所以要相信只要努力,一定可以成功的。我搭建时主要通过看视频和咨询学长,百度。下面就为大家简介一下我的搭建过程,希望对于你们有或多或少的帮助。安装node.js首先我们可以在百度搜索node. js,找到官网选择常用版本进行下载,然后再下载的时候可以选择安装在D盘,安装之后,点击搜索...原创 2020-02-25 20:19:37 · 176 阅读 · 0 评论 -
2020-01-19
HTML的学习了解HTML:HTML文件是可以被多种网页浏览器读取,产生网页传递各类资讯的文件。从本质上来说,Internet( 互联网)是一个由一系列传输协议和各类文档所组成的集合,html文件只是其中的一种。这些HTML文件存储在分布于世界各地的服务器硬盘上,通过传输协议用户可以远程获取这些文件所传达的资讯和信息。超文本标记语言或超文本链接标示语言(标准通用标记语言下的一个应用)HTML...原创 2020-01-19 15:07:06 · 433 阅读 · 0 评论 -
数据库,数据表,字段的理解
数据库,数据表,字段的理解数据库第一 它是一个实体,它是能够合理保管数据的"仓库",用户可以在这个仓库中存放自己想要管理的事务数据,它的储存空间很大,可以存放百万条、千万条、上亿条数据。第二 它也是数据管理的新方法和技术,它能更合适的组织数据,更方便的维护数据,更严密的控制数据和更有效的利用数据。总的来说,数据库是按照数据结构来组织、储存和管理数据的仓库。是一个长期储存在计算机内的、有组织...原创 2020-01-11 11:45:07 · 2979 阅读 · 2 评论