CTFSHOW菜GOU杯-CRYTO WriteUp 全程用kali

已于 2022-11-28 21:08:27 修改
阅读量994 收藏 3
点赞数
分类专栏: CTF 文章标签: 网络安全 密码学
于 2022-11-26 21:51:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010953308/article/details/128057606
版权

1、密码签到

密文为: 63746673686f777b77656c636f6d655f325f636169676f755f6375707d

flag格式为 ctfshow{明文}

解题:

根据密文特征,有数字有小写英文字母,有可能是base64,尝试解码不成功。

也有可能是16进制,根据flag格式反推,可以查ASCII码表,也可以使用kali shell验证一下

printf "%d" \'c 得出十进制 99

echo "obase=16;99"|bc  得到16进制  63正好是密文前两位,那应该就是两位一个字符,解码得也明文。

2、Caesar

密文如下: Zhofrph wr FWIvkrz yhjhwdeoh grj fxs!

flag格式为 ctfshow{明文}

区分大小写,包含空格

解题:

根据题名应该是凯撒解密,在线解密CTF在线工具-在线凯撒密码加密|在线凯撒密码解密|凯撒密码算法|Caesar Cipher

key试到3,得到有意义的明文。

3、0x36d

密文:

😫🙄👰😰👣🙋😱👧👌👷👯👩😴👖👫👚🙃👹👏👏😶👳😫👕🙂🙊👵👶👨👰👮🙉👶👵👸👲👺👮👑😶👴😫🙊👫😴👬👹👤👑😱👗🙃👐😶

提示: 有没有一种可能,标题就是密码?

解题:

看密文是emoji加密,找到解密网站Txtmoji | Encrypt Text to Emojis

需要密码,看提示猜测密码是0x36d,试了一下没用。

0x36d看起来是16进制转文本试了一下转不出来,转10进制是877,用877解出。

总结:

kali中的进制转换:

2021不再有雨https://blog.csdn.net/w727655308

#其它进制转十进制
echo "$((2#1101101101))" #二进制转十进制
echo "$((8#1555))" #八进制转十进制
echo "$((16#36d))" #十六进制转十进制
echo "$((3#1012111))" #三进制转十进制
​#十进制转其它进制
echo "obase=2;877"|bc #十进制转为二进制
echo "obase=8;877"|bc #十进制转为八进制
echo "obase=16;877"|bc #十进制转为十六进制
echo "obase=3;877"|bc #十进制转为三进制
#十进制ASCII值转字符:
printf \\x`printf %x 97`
#字符转十进制ASCII值
printf "%d" \'a

4、类型-7

密文如下: 094F5A0F0A0D1805103B0B3D143117183B720438350A45550967674D1E064F2969784440455A460F1A1B

解题:

根据题目名字找到Type-7解密算法:

Type7算法解密计算工具-Bejson.com

dressagelele
关注
专栏目录
CTFshow--Crypto-签到-Caesar-0x36d-类型7
qq_31415417的博客
03-02 1226
CTFshow--Crypto-签到-Caesar-0x36d-类型7
CTFshow-WP
m0_61155226的博客
11-14 6048
然后得到了压缩包中的音频文件,然后发现文件后缀为.wav而不是原本的.mp3,猜测需要使用Silent eye工具 Sound qualit选择high,然后就得到flag啦。这里发现成功破除伪加密(也可以手动修改破伪加密),然后通过文件头判断压缩包中的文件类型为.pyc,并修改文件后缀名为.pyc(否则在线工具无法正常反编译;打开链接发现是看图识美女,要通过30关;访问链接发现是探姬的福利视频(bushi),然后根据提示的摩斯密码不难猜测到黑丝为1,白色为0,然后分割标志为视频的转场动画,
ctfshow 反序列化(254-278)
fainpo的博客
06-07 825
用 |O:4:"User":3:{s:8:"username";可以看到fuck成功替换成了loveU,s:4这里表示的是4个字符,但是由于我们替换了,变成了5个字符,他就只会看love,这个U就不会看了。一般有这种str_replace将4个字符,替换成5个字符,或者任意的,只要字符替换的个数不相等,都是字符串逃逸的应用场景。将会以我们构造的token为admin为准,后面的token为user的值他就会丢弃,因为我们已经闭合了。
ctfshow web入门99
m0_73303597的博客
01-11 639
自用
ctf.show php特性(89~110)
qq_61768489的博客
02-14 750
web91 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } 考察preg_match函数处理不了数组,错误返回0,即是我们想要的 /?num[] web92 web93 web94 web95 web.
开源项目-shingetsu-gou-shingetsu-gou.zip
09-05
"shingetsu-gou-shingetsu-gou.zip" 是一个开源项目,其目标是实现一个基于Golang语言的P2P匿名讨论板系统,名为"Gou"。这个项目显然是受到了原有P2P匿名BBS系统shinGETsu的启发,并在Golang编程语言中进行了重新...
gou-zaoDB-fu-xiao-bo.rar_Daubechies_尺度函数求解_构造小波基_离散小波基
09-21
本资源“gou-zaoDB-fu-xiao-bo.rar”聚焦于Daubechies小波基的构建和应用,特别是如何求解尺度函数以及构造离散小波基。 Daubechies小波是由比利时数学家Ingrid Daubechies提出的,是一类具有有限支撑且具有正交...
Poor-child-fort-Gou-fish-and.rar_child
07-14
决策在管理活动中普遍存在,是为解决当前或未来可能发生的问题
开源项目-shingetsu-gou-http-relay.zip
09-04
开源项目-shingetsu-gou-http-relay.zip,通过websocket中继http的go模块
swift-RN-GouGou一个RN的IOS配音app
08-15
Swift-RN-GouGou 是一个基于React Native技术开发的iOS配音应用,它允许用户为短视频添加声音,创造富有创意的配音作品。由于项目标签明确指出是“Swift开发-完整项目”,我们可以推断这个项目结合了React Native和...
ctfshow---php特性
fainpo的博客
04-02 1518
使用此管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。就是比如get传入a=1第一个foreach的$key就是a,$value就是1,利用die($error) 这里退出会输出$error,所以将flag的值赋值给他就能得到flag,当然第一个if不让,所以我们利用一个跳板。_()==gettext() 是gettext()的拓展函数,开启text扩展。
CTFshow之web97~web104---php特性(2)
金 帛的博客
06-15 1112
ctfshow文件上传web97~web104的wp
CTFshow php特性 web108
Kradress的博客
12-15 305
目录源码思路ereg绕过flag题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-28 23:53:55 */ highlight_file(__FILE__); error_reporting(0); include("flag.php"); if
Ctfshow 反序列化
qq_74806534的博客
03-17 1684
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI就是服务器端模板注入SSTI也是,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,
ctfshow web入门 1-2 +密码签到
最新发布
Nike_name的博客
02-04 432
【代码】ctfshow web入门 1-2 +密码签到。
CTF技巧_Web——PHP特性_绕过ereg()
Ho1aAs‘s Blog
11-21 1562
文章目录一、简述二、PHP源码三、方法及原理 一、简述 int ereg(string pattern, string originalstring, [array regs])函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回t1,否则,则返回0,且搜索对大小写敏感 ereg()函数存在NULL截断漏洞,当传入的字符串包含%00时,只有%00前的字符串会传入函数并执行,而后半部分不会传入函数判断。因此可以使用%00截断,连接非法字符串,从而绕过函数 二、PHP源码 题目来源:ctf.show
challenge
Break-attack的博客
01-21 524
challenge 题目内容: 666c61677b686578327374725f6368616c6c656e67657d 一看就是十六进制的转了下其他格式没发现啥,拿去对了ASCII码发现flag ASCII可显示字符 二进制十进制十六进制图形 00100000 32 20 (空格)(...
kali-linux基础
m0_69572634的博客
04-21 1166
kali-linux基础 Unix 不开源,收费。IOS MAC Linux 开源,免费。Redhat(红帽自己开发的一个linux分支,收费) Centos 和 Redhat 系统内核一模一样,但是免费。 debian 分支 图形化桌面。 Ubuntu 乌班图,桌面最常用的操作系统。界面炫酷,支持的软件相对而言较多。 backtrack(kali) 凯莉,黑客系统。开源 免费。黑客工具集合的系统。 linux介绍 / 根,是linux操作系统当中最最上层的目录 目录结构: / (根) r
[ctfshow]web入门——反序列化(web261+web264-web267)
ShenZ的博客
03-02 6340
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
docker-compose 里部署gou
06-09
好的,关于使用Docker Compose部署golang应用,我可以为您提供一些指导。 首先,您需要创建一个 `Dockerfile` 文件来构建您的golang应用的Docker镜像。这个文件应该包含以下内容: ``` FROM golang:1.16.5-alpine3.14 WORKDIR /app COPY . . RUN go build -o app . CMD ["./app"] ``` 这个 `Dockerfile` 文件使用了 `golang:1.16.5-alpine3.14` 作为基础镜像,并把当前目录下的所有文件复制到了容器的 `/app` 目录下。然后使用 `go build` 命令来编译您的golang应用,最后通过CMD指令来运行生成的可执行文件。 接下来,您需要创建一个 `docker-compose.yml` 文件来定义Docker容器的配置。这个文件应该包含以下内容: ``` version: '3' services: app: build: . ports: - "8080:8080" ``` 这个 `docker-compose.yml` 文件定义了一个 `app` 服务,它使用了上面定义的 `Dockerfile` 文件来构建Docker镜像。并且将容器的 `8080` 端口映射到主机的 `8080` 端口。 最后,您可以使用以下命令来启动Docker容器: ``` docker-compose up ``` 这个命令会根据 `docker-compose.yml` 文件来启动 `app` 服务,并且在主机的 `8080` 端口上暴露您的golang应用。 希望这些信息可以对您有所帮助,如果您还有其他问题,请随时问我。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dressagelele

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值