2012年第三届西安电子科技大学网络攻防 大赛暨网络渗透部分通关方案 V2.0

最新推荐文章于 2023-06-14 20:30:00 发布
最新推荐文章于 2023-06-14 20:30:00 发布
阅读量716 收藏 1
点赞数
分类专栏: 安全 文章标签: 安全

2012年第三届西安电子科技大学网络攻防

大赛暨网络渗透部分通关方案

V2.0

南国利剑

Cyberpolice

http://weibo.com/nanguojian

言:

本次比赛由西电信息安全协会 主办官方站点:https://csc.xdsec.org

10.1-10.15日。注册时间截止于1010日。请参赛队伍合理分配时间。 --XDSEC

0X000

第一关:本地关闭javascript查看网页源码,箭头所指部分为加密部分为十六进制加密

解密得Key:f1rsTPa5skey

0X001

第二关本地拦截查看数据包得知需要解密cookie


目测为十六进制加密解密得(ZzBOZXhUZG8wcm==),这个不是最终结果,判断为base64加密,通过base64解密得知为g0NexTdo0r

得到最终cookie值修改本地cookie提交即可登录系统。

0X002

第三关为

根据提示修改head Content-Language: en


重新提交,进入系统得到key

0X003

第四关为提示please  login    需要登录,查看本地拦截的数据包


尝试修改cookie admin=0 改为admin=1,成功登录

0X004

第五关为一个登录页面,输入密码框,需要破解

查看源码最底部,可以找到密码字典


下载之,加载进入破解工具跑密码喽

0X005

第六关估计为寻找access数据,根据提示<!--tips:conn.inc-->



??需要进一步分析!!

0X006

第七关为根据导出的SAM破解密码

h4cker:1004:C4FB857DAAF137F088BE239044A684C5:4708EEA5CCA17F195EE8EACA40153F5B:::

自己跑彩虹表吧

结果为

71dd0709187df68befd20973fc23f973

4708EEA5CCA17F195EE8EACA40153F5B

0x007

第八关一个登录框,绕过登录进去

帐号为admin’or’=’or’/**

密码:随便输入

即可登录进去。目测为 dvwa漏洞演练环境;

0x008

根据提示第九关获取admin的明文密码即为key.

注入绕过得到admin密码

n1md4

0x009

第十关上传一个php文件,需要本地拦截00截断修改数据包方可上传成功

之后会反回一个key即为答案;


tmdsb38
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023网络安全比赛--Web综合渗透测试中职组(超详细)
Aluxian_的博客
02-08 2048
1.通过URL访问http://靶机IP/1,对该页面进行渗透测试,将完成后返回的结果内容作为FLAG值提交;2.通过URL访问http://靶机IP/2,对该页面进行渗透测试,将完成后返回的结果内容作为FLAG值提交;3.通过URL访问http://靶机IP/3,对该页面进行渗透测试,将完成后返回的结果内容作为FLAG值提交;4.通过URL访问http://靶机IP/4,对该页面进行渗透测试,将完成后返回的结果内容作为FLAG值提交;
“安恒杯”南京邮电大学首届CTF网络攻防比赛实施方案.pdf
09-09
“安恒杯”南京邮电大学首届CTF网络攻防比赛实施方案
CTF网络安全大赛介绍
m0_59598029的博客
06-14 2248
CTF竞赛模式分为以下三类:一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
中职网络安全比赛之Web综合渗透测试
cike_y
02-17 949
一次关于关于中职比赛题目的web渗透页面的笔记,有什么不懂的都可以找我。
2023网络安全比赛--CMS网站渗透中职组(超详细)
Aluxian_的博客
03-15 4891
新建一个文本文档,重命名为webshell.asp,并向webshell.asp中写入一句话木马。1.使用渗透机对服务器信息收集,并将服务器中网站服务端口号作为flag提交;4.使用渗透机对服务器渗透,并将网站中所用的数据库的表名作为flag提交;5.使用渗透机对服务器渗透,将网站管理员的加密密码作为flag提交;3.使用渗透机对服务器渗透,将可渗透页面的名称作为flag提交;6.使用渗透机对服务器渗透,将服务器的本地名称作为flag提交。2.使用渗透机对服务器信息收集,将网站的名称作为flag提交;
电子科技大学网络攻防期末复习资料.zip
最新发布
01-06
电子科技大学网络攻防期末复习资料.zip
西南科技大学网络攻防与对抗实验三,ARP欺骗实验
06-02
实验三,ARP欺骗详细过程实验报告 验证型实验,了解ARP欺骗的原理,掌握ARP欺骗的实验过程 (1)准备实验环境 (2)在虚拟机上运行cain主程序 (3)扫描活动主机 (4)配置信息 (5)开启ARP欺骗实验过程 (6)观察...
广东大学生网络安全攻防大赛(题目附件-剩下的)
05-25
该文件包含了比赛上本人没做出来的题目的附件
【广东大学生网络攻防大赛】Reverse | pyre 题目附件
05-24
【广东大学生网络攻防大赛】Reverse | pyre 题目附件
【广东大学生网络攻防大赛】Misc | 复合 题目附件
05-24
【广东大学生网络攻防大赛】Misc | 复合 题目附件
CTF 简介 竞赛流程 知识点 学习攻略
SKPrimin的博客
08-05 1704
CTF 简介 CTF竞赛流程 参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为"Flag”。 单兵作战 理论、杂项、 web、pwn、逆向等各种题目 综合靶场 团队形式,攻击相同环境的靶机 主要是web题型 只需攻击不用防御针对同一个环境,越早拿到flag,获取的分数越高一台靶机通常会有多个flag flag通常放在web根目录、桌面、C盘根目录、C:\windows
ctf比赛的三种形式
qq_33881738的博客
03-10 1万+
竞赛模式编辑 CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 二、攻防模式(Attack-Defense) 在...
2023网络安全比赛--中间件渗透测试中职组(超详细)
Aluxian_的博客
01-25 5327
4.通过渗透测试平台Kalie对靶机场景Server2131进行网站目录枚举渗透测试,使用工具dirb的默认字典来进行枚举,将dirb工具返回结果中的最后一行的URL作为Flag值提交;(注:IP地址使用172.16.1.1代替)3.通过渗透测试平台Kali对靶机场景Server2131进行网站目录枚举渗透测试,使用工具dirb的默认字典来进行枚举,将dirb工具返回结果中的扫描到的目录数量作为Flag值提交;
2023网络安全比赛--Linux渗透测试中职组(超详细)
Aluxian_的博客
01-20 6153
2.通过本地PC中渗透测试平台Kali对靶机场景进行渗透测试,将该场景/var/www/html目录中waf防火墙文件中的所有的被过滤的字符串内容作为Flag值提交;)dirsearch。3.通过本地PC中渗透测试平台Kali对靶机场景进行渗透测试,将该场景/var/www/html目录中唯一一个后缀为.html文件的文件名称作为Flag值提交;4.通过本地PC中渗透测试平台Kali对靶机场景进行渗透测试,将该场景/var/www/html目录中唯一一个后缀为.html文件的文件内容作为Flag值提交;
2012西电网络攻防大赛(XDCSC2012网络渗透0x009通关方案
p0x1307的专栏
10-10 1004
比赛地址:https://csc.xdsec.org。感兴趣的朋友可以看下。。。 边学边试弄了一个晚上,终于过了这关。以前没有学过PHP+MYSQL的注入,ASP也只会用啊D一类工具,今天算是手工注入了一次。 界面只有一个文本输入框。推测应该是字符型的注入点。 先提交一个单引号试试,没有任何回显,也没有报错,推测把单引号当做一个字符执行了。。。 提交1',奇迹出现了。。。 推
CTF竞赛所需要的能力
不管风雨有多少丶的博客
10-20 1798
CTF中试题主要包括以下几类: MISC:取证分析 内网安全 之类 PPC&CRYPTO:事件分析与解决方案 密码学原理应用 PWN:后门分析 移动终端 REVERSE:逆向工程类 WEB:网络攻防 由此可知你需要具备以下能力: Web漏洞与渗透(Web) 操作系统和网站应用服务器安全, 网站多种语言源代码阅读分析(特别是php和java), 数据库管理和SQL语句查询, W...
ctf 网络安全比赛简介
热门推荐
whatday的专栏
11-13 5万+
CTF简介 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON...
很简单的网络渗透过程
qq_38950485的博客
07-11 1万+
背景:    在20187月10号收到了一份邮件,竟然是标题是教务处邮件,如图:        服了,点进去果不其然这是一个钓鱼网站,我反正不会相信我大学能拿到奖学金的,并且都已经毕业快半个月了。然后想了想就想写一篇文章,出于对网络渗透这一方面,不过只是一种非常简单的渗透过程,并没有采用多么复杂的渗透技术,借助了kali linux操作系统的。正文:        首先说明一下,我只是想给对于网...
网络攻防网络渗透有什么区别?
07-15
网络攻防网络渗透网络安全领域中两个不同的概念。 网络攻防是指通过采取各种技术手段来保护计算机网络和系统的安全,以防止未经授权的访问、数据泄露、病毒感染等安全威胁。网络攻防包括设置防火墙、入侵检测...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值