CTF实战

最新推荐文章于 2024-02-19 14:45:37 发布
最新推荐文章于 2024-02-19 14:45:37 发布
阅读量241 收藏
点赞数
分类专栏: webCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63792137/article/details/127443306
版权

天合网安CTF


获取设备信息

1. 神奇的磁带

  1. 准备
    靶场实战链接
    需要攻击IP地址:10.1.1.147:5001
    工具路径:C:\tools\
  2. 打开浏览器,访问网址10.1.1.147:5001

    a. 查看源码出现Flag.txt,网址访问

    b. 打开,乱码;
    右键,将其保存于桌面,打开后发现

    c. 随便输入提交,响应飞快变化,讲解说的是302跳转,接着使用burp抓包
    d. 打开BP,更改代理,intersept is on打开拦截,随便输入字符串(此处输入a),

    e. 到BP的decoder模块解码,进行解码,发现是一串字符q12345678Ñ0p..,将其放置于pwd处

    f. ctrl +R 或右键send to repeater (中继器)中放行,百度搜索谜语为磁带英文即tape

    g. 将字符出 tape置于pwd处,再次放行,得到Flag-Win.txt

    h. 关闭抓包,intersept is off,更改代理,将Flag-Win.txt置于url之后

    i. 听说过这句话“天王盖地虎,宝塔镇河妖”吧,拼音缩写即btzhy,继续放到pwd处

    j. 接着访问以下此处的.php文件,接着查看源代码,发现其为两位数

k. 随便输入两位数,此处输入了1,无关紧要
打开BP,代理,再次抓包,我们只知道是两位数,不知道其它,数量不多,可以爆破解决

L. CTRL + I或者send to Intruder(攻击模块),接着点击Intruder,来到此模块,系统根据内容设置了两个变量,我们仅需要输入的一个变量。清理变量,仅留下所需变量,即 hacker 处的变量

m. 点击payloads,设置爆破项内容,攻击类型选numbers,起始值设置为10,接着点击start attack OK,开始爆破;

n. 观察返回包的大小,仅有一个不同,即正确值,其它为错误值(错误值返回包大小均相同),点开不同的那个值,打开response响应HTML内容得到flag

answer

2. 就差一把钥匙

1.准备
靶场实战链接

2.打开浏览器,访问网址10.1.1.147:5002
tap1
a. view-source:url,内有什么发现
tap2
b. robots协议,查看内容
tap3
c. url/console路径,查看源代码,没有发现
tap4
d. 使用指定IP,利用burp改包访问,尝试改地址为本地回环地址访问
:要将这些http绕过放置请求头处
IP欺骗绕过

tap5
tap5

`流年づ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】BUUCTF Brute 1解题详析(BurpSuite爆破实战
等风来
04-28 5186
4、Cluster bomb:每个变量对应一个字典,并且交集破解尝试每一个组合,每个用户和每个密码进行匹配,两个字典。找到返回长度异于其它payload的请求(在此实例中即为admin),响应页面回显。2、Battering ran:对变量进行同时破解,用户名和密码相同,仅一个字典。由上可知,发送到第6491个请求时才爆破出密码为6491,而这个过程是十分慢的。3、pitch fork:每个变量对应一个字典,用户名和密码一一对应,两个字典。单独抓包时回显仅用户名错误,考虑先爆破用户名。
CTF实战实践
weixin_46660023的博客
12-05 5118
文章目录前言一、什么是CTF1. CTF竞赛模式2. CTF各大题型简介二、CTF实战1.nmap扫描2. whatweb探测3. Dirb爆破4. wireshark分析5. 利用漏洞提权6. SSH登录服务器总结 前言 今天做了一个CTF的实践,对目标靶机进行了渗透,以此了解CTF实战过程。 一、什么是CTF         首先先来介绍一下CTF。         CTF(Capt.
04.实验吧CTF实战之WEB渗透和隐写术解密1
08-03
1.它们其实是Jother编码,它是一种运用于Javascript语言中利用少量字符构造精简的匿 2.打开Chrome浏览器,按F12键选择控制台Console
CTF实战26 CTF题目练习和讲解四
qq_44005305的博客
11-28 847
这一阶段我们将会开始接触逆向()类的题目小提示:看懂汇编,C语言是关键~还要熟悉各种壳的脱~难度**(中等以下)**且的值为值为d55bb4bc95b1c8c5180b11cd3a3ebff1接下来我将给各位同学划分一张学习计划表!
零基础小白如何入门CTF,看这一篇就够了(附学习笔记、靶场、工具包)
2301_77472496的博客
10-29 1664
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。
CTF取证技术实战,图片、文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 1564
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
神奇磁带
bronze_s的博客
08-18 873
打开实验环境 审题这是一个web题,打开指导书 目标为10.1.1.147:5001,使用浏览器打开这个地址,可以看到一个web页面。 右键查看源代码,可以看到最后一行存在一个flag.txt文件
【网络安全CTF入门教程(非常详细)从零基础入门到进阶,看这一篇就够了!
程序员若风的博客
12-11 3153
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
合天每周CTF之第一周-神奇磁带
xxhjtc的博客
08-30 1249
1.题目描述: 1)进入实验环境,查看页面源代码: 2)根据提示,查看Flag.txt文件,将页面保存到本地,发现为错误信息: 3)更换思路,因为页面包含搜索框,尝试提交请求抓包分析,为浏览器设置本地代理,使用burp suite拦截: 4)发现cookie值为base64编码,发送到decoder进行解码: 5.将抓到的包发送到repeater,便于改包: 6)将解码得到的字符串重新提交,得到进一步提示: 7)根据提示猜到谜底为磁带,英文为tape,重新提交.
合天网安 在线实验 CTF竞赛 writeup(第一周 | 神奇磁带、第二周 | 就差一把钥匙、CTF-WEB小技俩、第三周 | 迷了路、第四周 | Check your source code)
ShenZ的博客
12-14 1105
文章目录第一周 | 神奇磁带第二周 | 就差一把钥匙CTF-WEB小技俩第三周 | 迷了路第四周 | Check your source code 第一周 | 神奇磁带 提示在Cookie=cTEyMzQ1Njc4OTBwLi4= Base64解密后即是密码,登陆得到提示 回去输入Tape,得到第二个提示 访问http://10.1.1.147:5001/Flag-Win.txt 天王盖地虎-宝塔镇河妖-btzhy,重新提交,得到新的提示: 访问Flag-K0r4dji.php 源码中有提
CTF 实战选择题
02-28
CTF 实战 选择题,带答案 编辑版
CTF从入门到提升(一).docx
12-18
CTF从入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
27.Sqlmap基础用法、CTF实战及请求参数设置(一)1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。一.Sqlmap
网络安全 CTF 入门.pdf
07-09
网络安全 CTF 入门
合天-神奇磁带
浅时光-Trister
08-18 138
玩转这三款抓包工具,网友说:你是高手
m0_75277660的博客
05-08 1629
网页的bug调试,其出名的背后有着更“神奇”的功能,有很多网友都知道“Fiddler学的好,牢饭吃的饱”。二、科来(Colasoft Capsa),全名是科来网络分析系统,是国产抓包软件的经典之作,当年靠它搞定了很多的网络故障问题,其人性化的交互界面,适合国人习惯的数据包结构展示,图表分析,节点,协议等,特别是报表功能,可以呈现一份全过程的数据资源,不但可以协助分析,存档,最主要的是向客户演示和解说,通过PPT对比,让客户更能直观去理解。该工具的优秀和强大就不用说了,谁用谁知道!【保证100%免费】
【网络安全CTF/AWD实战速胜指南,《AWD特训营》
最新发布
喜欢Python编程的程序员柚柚呀
02-19 882
【文末送书】今天推荐一本网安领域优质书籍《AWD特训营》,本文将从其内容与优势出发,详细阐发其对于网安从业人员的重要性与益处。
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
Azreal的博客
07-02 1713
本篇文章分享实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官! 一.WEB之这是什么 题目地址: http://www.shiyanbar.com/ctf/56 解题链接: http://ctf5.shiyanbar.com/DUTCTF/1.html 题目描述: 打开链接如下图所示,确实是什么鬼东西。
ctf实战从入门到提升 pdf
01-06
CTF实战从入门到提升》PDF是一本关于网络安全竞赛CTF(Capture The Flag)的实战指南。该书通过系统地介绍CTF比赛的基础知识、技巧和实战经验,帮助读者从入门阶段逐步提升自己的技能。 首先,该书从CTF比赛的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值