picoCTF 2022 web

最新推荐文章于 2024-08-20 10:07:11 发布
最新推荐文章于 2024-08-20 10:07:11 发布
阅读量3.3k 收藏 2
点赞数 2
分类专栏: 刷题 wp 文章标签: 安全 ctf 网络协议 html 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/124060427
版权
本文介绍了在一系列编程挑战中,如何通过源码分析、路径绕过、cookies搜索和SQL注入等技术手段,解决HTML检查、权限限制、源码隐藏及加密文件解密问题。涉及前端HTML、后端权威路径过滤、数据库操作和安全漏洞利用。
摘要由CSDN通过智能技术生成

目录

Includes

Inspect HTML

Local Authority

Search source

Forbidden Paths

Power Cookie 

 Roboto Sans

Secrets

SQLiLite

Eavesdrop

Includes

看题目以为文件包含啥的

很简单,直接看源码,然后里面有 两个源码链接,点进去就是flag

 

Inspect HTML
 

直接看源码。。
 

 


 Local Authority
 

打不开网页
 

不过也是源码类的题目
 

Search source
 

js源码找了半天没找到,还是在css翻到了
 

 

 

 

 

Forbidden Paths
 

 
 
We know that the website files live in /usr/share/nginx/html/ and the flag is at /flag.txt but the website is filtering absolute file paths. Can you get past the filter to read the flag?
 

 

告诉文件地址和路径了,这个环境也没了,看了wp也差不多
 

过滤了绝对路径,使用相对路径即可
 

../../../../flag.txt
 

 

Power Cookie 
 

看到是以guest进行登录的,直接在cookie那里找,果然看到了,改成1即可
 

 

 

 Roboto Sans
 

robots.txt 看到
 

 

 只解码第二行可以看到 信息,好坑
 

 

 

Secrets
 

一直找没找到,还是要主要源码里面的文件夹
 

 

访问后继续检查,一直这样下去 
 

 

 
 

 

SQLiLite
 

 

会给sql语句信息
 

用万能密码 
 

 

看源码即可 
 

 

Eavesdrop
 

https://github.com/LambdaMamba/CTFwriteups/tree/main/picoCTF_2022/Forensics/Eavesdrop
 

 

 

上面对话给了解密信息
 

这个是加密文件,保存出来,
 

 然后kali执行命令,我这里会出问题,还没解决

                

        

        

    




    

      

        

            

              
                
                  ThnPkm
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
PicoCTF——Most Cookie思路讲解

				
			

			

				

					npu2022303155的博客
				

				

					04-25
					
					867
					
				

			

		

		

			
				
1. 并没有手把手的步骤,只有一些经验。
2. 会有一些抓包图片来帮助理解,只是不知道有没有多此一举。

			
		

	



                

              
                



	

		

			

				
					
picoCTF2020-Crypto

				
			

			

				

					煤矿路口西的博客
				

				

					11-11
					
					902
					
				

			

		

		

			
				
picoCTF
Cryptography

The Numbers

The Numbers

The flag is in the format PICOCTF{}


得到一串数字
16 9 3 15 3 20 6 { 20 8 5 14 21 13 2 5 18 19 13 1 19 15 14 }

根据hint,对照ASCII,已知部门为
80 73 67 79 67 84 70 { }

编写脚本,思路为after=before+64,或者手动加工也可得到flag.
caesar

caesa.

			
		

	



                


  
              

                


	

		

			

				
					
“黑客”营倒计时 - 体验由卡内基梅隆大学组织的信息安全竞赛

				
			

			

				

					weixin_36841920的博客
				

				

					02-21
					
					343
					
				

			

		

		

			
				
眺望前方,有人看到是障碍,有人看到是更大的目标。PicoCTF 由卡内基梅隆大学组织,是全球最大面向中学生的网络信息安全竞赛。去年有7800多个队参赛。PwA队取得了前12%的优异成绩。在为期两周刺激的竞赛过程中,PwA的队员们挑战智力、毅力、体力,夺旗后的快乐感满满,在知识、能力和信心上,获得巨大提升。PicoCTF竞赛的设计原则是”玩乐中学” (Learn in play) ,极具趣味性和挑战...

			
		

	





	

		

			

				
					
picoCTF,Forensics,取证类,43/50

				
			

			

				

					Allezima阿力代码
				

				

					02-10
					
					1837
					
				

			

		

		

			
				
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……

			
		

	



		

			
		



	

		

			

				
					
揭秘:网络安全新手如何通过PicoCTF平台快速升级?

				
			

			

				

					Ms08067安全实验室
				

				

					03-21
					
					157
					
				

			

		

		

			
				
点击星标,即时接收最新推文文末赠书正在学习网络安全的同学们,你们都参加过 CTF(Capture The Flag)比赛吗?CTF 比赛是网络安全领域的一项引人瞩目的活动,吸引着无数热爱挑战和技术的玩家们投身其中。可能有的同学会有疑问,初学网络安全就参加 CTF 比赛是不是太难了?这种顾虑是有道理的,因为网络安全领域涵盖了诸多专业技术领域,如密码学、漏洞利用、逆向工程等,这些都是 CTF 比赛的重...

			
		

	





	

		

			

				
					
picoCTF,General Skills,基本技能类,34/34

				
			

			

				

					Allezima阿力代码
				

				

					12-28
					
					1879
					
				

			

		

		

			
				
自己做的CTF,记录一下。后期不断编辑。

			
		

	





	

		

			

				
					
picoCTF2020_Web

				
			

			

				

					煤矿路口西的博客
				

				

					11-11
					
					733
					
				

			

		

		

			
				
picoCTF
Web Exploitation

Insp3ct0r

Insp3ct0r

How do you inspect web code on a browser?There’s 3 parts


ctrl+u看源码->1/3 of the flag: picoCTF{tru3_d3
mycss.css看源码-> 2/3 of the flag: t3ct1ve_0r_ju5t
myjs.js看源码->3/3 of the flag: _lucky?2e7b23e3}
w.

			
		

	





	

		

			

				
					
picoCTF:picoCTF挑战的解决方案

				
			

			

				

					03-31
				

			

		

		

			
				
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!

			
		

	





	

		

			

				
					
PicoCTF2021:Git du CTF PicoCTF版本2021

				
			

			

				

					04-05
				

			

		

		

			
				
PicoCTF2021  解决方案在2021年版《麻烦日报》上的无人驾驶解决方案(Voici mon petitdépôtsansprétention) 密码学 网络开发 领先 饼干 寻宝游戏 需要一些组装1  需要一些组装2 逆向工程 转型 速度和进给 法证 ...

			
		

	





	

		

			

				
					
picoctf-discord:picoCTF Discord通知机器人

				
			

			

				

					03-21
				

			

		

		

			
				
PicoCTF不和谐  通知机器人 设定档 注意:可以将配置存储在文件中,也可以通过环境变量进行设置。 姓名 默认 描述 DISCORD_WEBHOOK_URL 不适用 不和谐的Webhook网址 PICO_USERNAME 不适用 picoCTF用户名 PICO_...

			
		

	





	

		

			

				
					
picoCTF-2020-撰写:picoCTF 2020解决方案的撰写

				
			

			

				

					02-21
				

			

		

		

			
				
picoCTF 2020撰写
此存储库包含picoCTF 2020的字样,提示和解决方案。每个文件夹对每个类别都有相应的问题。
麻省理工学院
版权所有2021 Adam Jeniski和Caleb Garrick
 特此免费授予获得该软件和相关文档文件(“软件”)副本的任何人无限制使用软件的权利,包括但不限于使用,复制,修改,合并的权利,发布,分发,再许可和/或出售本软件的副本,并允许具备软件的人员这样做,但须满足以下条件:
 以上版权声明和本许可声明应包含在本软件的所有副本或大部分内容中。
 该软件按“原样”提供,不提供任何形式的明示或暗示担保,包括但不限于对适销性,特定目的的适用性和非侵权性的担保。 无论是由于软件,使用或其他方式产生的,与之有关或与之有关的合同,侵权或其他形式的任何索赔,损害或其他责任,作者或版权所有者概不负责。软件。

			
		

	





	

		

			

				
					
PICOCTF_2019:picoCTF2019解决方案

				
			

			

				

					02-18
				

			

		

		

			
				
【标题】:“PICOCTF_2019:picoCTF2019解决方案”  在网络安全领域,CTF(Capture The Flag)比赛是一种流行的学习和竞技方式,旨在提升参与者在信息安全方面的能力。PICOCTF是面向全球学生和初学者的网络安全挑战...

			
		

	





	

		

			

				
					
picoCTF 2023 Writeup By AheadSec

				
			

			

				

					末初的CSDN博客
				

				

					03-24
					
					2418
					
				

			

		

		

			
				
picoCTF 2023 Writeup By AheadSec

			
		

	





	

		

			

				
					
picoctf_2018_are you root

				
			

			

				

					qq_62887641的博客
				

				

					08-28
					
					88
					
				

			

		

		

			
				
只free掉了v6的指针,也就是二号堆,并没有把申请的一号堆free掉,并且只清空了一号堆的[0]。然后free掉,进入tcache,然后再申请回来,此时的二号堆变成了。他会调用malloc()函数并且不会自身free。发现有个give_flag函数,基本调用就可以getflag了。第一个堆,申请0x10大小的堆,并且放入第二个堆的堆指针。的指针,指向的内容是5就可以getflag了。申请的二号堆,写入辣鸡数据,然后将[1]写入。所以再看一下free的过程。新的一号堆,里面存放着。他这里是申请两个堆,

			
		

	





	

		

			

				
					
picoCTF-RE-otp WP

				
			

			

				

					weixin_43781139的博客
				

				

					10-15
					
					600
					
				

			

		

		

			
				
今天被大佬学弟带着做了一道国外的ctf,质量果然和国内的套娃题不一样,挺有意思的,写个wp纪念一下。
64位elf文件,无壳,用ida64打开,主要算法代码如下:
int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  char v4; // al
  char v5; // dl
  unsigned int v6; // eax
  int i; // [rsp+18h] [rbp

			
		

	





	

		

			

				
					
PicoCTF2024 Web Writeup

				
			

			

				

					Err0r233的博客
				

				

					04-01
					
					1517
					
				

			

		

		

			
				
清一下存货

			
		

	





	

		

			

				
					
picoCTF - Day 1 - Warm up

				
			

			

				

					0pr
				

				

					08-30
					
					505
					
				

			

		

		

			
				
picoCTF - Day 1 - Warm up

			
		

	





	

		

			

				
					
picoCTF,Cryptography,密码类,40/50

				
			

			

				

					Allezima阿力代码
				

				

					02-10
					
					1542
					
				

			

		

		

			
				
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……

			
		

	





	

		

			

				
					
叉车ai行人防撞预警系统,前后盲区防撞报警,让行车更安全

					
最新发布

				
			

			

				

					jiuxindianzi的博客
				

				

					08-20
					
					515
					
				

			

		

		

			
				
九盾叉车AI防撞预警系统,含九配件,三颗摄像头监测盲区与疲劳,可选车速等配件增强安全监测。特点包括实时监测、动态规划、高精度定位、多级防撞等,全方位保障叉车操作安全

			
		

	





	

		

			

				
					
picoctf账号怎么注册不了

				
			

			

				

					05-17
				

			

		

		

			
				
如果您无法注册PicoCTF账号,可能有以下几种原因:

1. PicoCTF比赛已经结束,无法进行注册。

2. 您的年龄未满13岁,PicoCTF需要您的家长或监护人同意并帮助您完成注册。

3. 您的电子邮件地址已经被使用。请确保您使用的电子邮件地址没有被其他用户使用。

4. 您的网络连接可能存在问题,请尝试使用其他网络连接或者重启网络。

如果您仍然无法注册PicoCTF账号,建议您联系PicoCTF官方支持团队以获取更多帮助。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值