[LitCTF 2023]Flag点击就送!

最新推荐文章于 2024-09-09 11:04:38 发布
最新推荐文章于 2024-09-09 11:04:38 发布
阅读量856 收藏 1
点赞数 2
分类专栏: session伪造 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49893996/article/details/132521953
版权
文章讲述了在Flask环境中,通过输入名字尝试获取flag的过程,涉及到验证管理员身份、cookie与session的分析,最终发现session是Base64编码且包含不可见字符,需要猜测secret_key才能解码并获取flag,暗示着一场可能的CTF比赛挑战。
摘要由CSDN通过智能技术生成

进入环境后是一个输入框,可以提交名字

 然后就可以点击获取flag,结果回显提示,需要获取管理员

 可以尝试将名字改为admin

 触发报错,说明可能存在其他的验证是否为管理员的方式

 通过抓包后,在cookie字段发现了 特殊的东西,前面翻译过来跟题目没有太大关系,所以最后就看session字段,看着不像是base64,burp解码也不行

 最后查看wp,结果发现还是base64,不过有些字符是乱码,所以一般的工具解密不出来

解码后确实有不可见字符,而且是json字符串

 根据题目提示,和本题环境为flask,得知本题考察session伪造

 

但是没有secret_key,有点离谱的是,看了几个wp都说直接盲猜是比赛名称 LitCTF 

 拿到flag

 

陈艺秋
关注
专栏目录
AttributeError: module ‘lib‘ has no attribute ‘X509_V_FLAG_CB_ISSUER_CHECK‘解决方案
weixin_43178406的博客
12-11 5万+
本文主要介绍了AttributeError: module ‘lib’ has no attribute 'X509_V_FLAG_CB_ISSUER_CHECK’解决方案,希望能对使用python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
2023逆向分析代码渗透测试flag0072解析(超详细)
Aluxian_的博客
05-19 1592
1.从靶机服务器的FTP上下载flag0072,分析该文件,请提交代码保护技术的类型。提交格式:XXXX。4.请提交输入正确flag时的输出。提交格式: XXXX。2.提交被保护的代码所在地址。提交格式: 0xXXXX。3.提交代码解密的密钥。提交格式: 0xXX。5.提交flag的值。提交格式:XXXX。
2023LitCTF web组wp
m0_74160536的博客
05-17 1195
1、导弹迷踪2、1zjs3、php是世界上最好的语言!!4、Ping5、我Flag呢?7、作业管理系统8、Vim yyds10、这是什么?SQL!注一下!11、Flag点击!12、就当无事发生13、彩蛋。
[LitCTF 2023]Flag点击!(cookie伪造)
Welcome To Myon'Blog !
05-22 2380
cookie伪造、session、flask、Python、json
NSSCTF中的[WUSTCTF 2020]朴实无华、[FSCTF 2023]源码!启动! 、[LitCTF 2023]Flag点击! 以及相关知识点
2401_82388450的博客
06-19 821
补充:==弱类型比较中,字符'0e123'和字符'0e456'虽然是字符类型,但是因为==比较不比较数据类型,只比较值,而值就是科学计数法的表示格式,结果都是0,所以相等,返回true ===强类型比较中,字符'0e123'和字符'0e456'在比较数据类型的时候就被当作字符类型,而字符'0e123'和字符'0e456'当然不相等,所以返回false。用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;
[LitCTF 2023]Flag点击!--session伪造
qq_75120258的博客
04-18 980
由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,这就要求必须实现有状态,而session机制实现的就是这个功能。 用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;这段状态信息分配了一个唯一的标识符用来标识用户的身份,将其保存在响应对象的cookie中;当第二次请求时,解析cookie中的标识符,拿到标识符后去session找到对应的用户的信
c语言flag,flag是什么意思
weixin_39902107的博客
05-19 5998
概括:这道题是霍睦难同学的课后历史练习题,主要是关于flag是什么意思,指导老师为朱老师。Flag(フラグ),是指故事中让人能够预测到之后发展的事件。结合义项"Flag(计算机编程中表示变量的词语)"使用。题目:flag是什么意思解:flag原意指旗标,标志,在算法中指一个标记,你可以任意定义一个变量参考思路:算法中的"i""sum""flag"是什么意思?答:i——指针,即循环计数器sum——和...
【愚公系列】2023年06月 网络安全(交通银行杯)-flag在哪里
时光隧道
04-15 9013
Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。在过去,网络数据包分析软件是非常昂贵,或是专门属于营利用的软件,Wireshark的出现改变了这一切。在GNU通用公共许可证的保障范围底下,用户可以以免费的代价获取软件与其代码,并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。
LitCTF2023 郑州轻工业大学网络安全赛--web方向
qq_44640313的博客
05-18 850
LitCTF2023--web方向wp
LITCTF2023 部分WP
arcuied
05-14 1618
LITCTF2023 部分WP
LitCTF-2023-web部分
m0_74097148的博客
05-18 1921
也有多种解法,当然如果上传有黑名单限制 但是远程下载没有 则可以用远程下载去下载PHP木马文件,然后剩余的步骤和上传木马的操作一样 不多做说明。并且题目提示我们只有username, password两列, 不需要group by去判断列数了。输入如下图的内容, 下载后点击编辑文件即可看到flag。如果想要了解更多关于http头部的信息可以参考。
LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分
Aluxian_的博客
05-14 7015
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF
ctfshow web78 获取flag(用老版的火狐浏览器)
XiaoYeZhu_1314的博客
04-28 420
第一种:利用input伪协议 ,获取到flag。第二种:利用flter协议,获取到flag。第三种:利用data 协议 获取到fag。
[CTF夺旗赛] CTFshow Web1-12 详细过程保姆级教程~
最新发布
Da1NtY的博客
09-09 1393
​ CTFShow通常是指网络安全领域中的“Capture The Flag”(夺旗赛)展示工具或平台。这是一种用于分享、学习和展示信息安全竞赛中获取的信息、漏洞利用技巧以及解题思路的在线社区或软件。参与者会在比赛中收集“flag”,通常是隐藏在网络环境中的数据或密码形式,然后通过分析、破解等手段找到并提交。CTFShow可以帮助人们了解最新的安全技术和挑战,同时也促进了安全知识和技术的交流。
CTFshow_年CTF 2023
weixin_45908624的博客
01-28 815
_年CTF
ctfshow
charon145的博客
01-15 1381
第三题 抓包,获得flag
[LitCTF2023] web方向全题解wp
Leaf_initial的博客
05-14 2596
签到题,f12获取flag这里注意看一下源代码,有彩蛋先留着。
思维导图2023flag
09-17
2023flag则是指2023年的旗帜,结合这两者,我来讲一下思维导图在2023年可能的应用。 首先,随着信息时代的发展,思维导图将在2023年继续发挥重要的作用。人们在处理大量信息时,往往容易迷失在琐碎的细节中。而思维...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值