php安全挑战赛,BiliBili1024安全挑战赛题目及解答(关联ctf)

最新推荐文章于 2024-05-11 18:12:33 发布
最新推荐文章于 2024-05-11 18:12:33 发布
阅读量1.1k 收藏
点赞数 1
文章标签: php安全挑战赛

bilibililogo.jpg

哔哩哔哩在 1024 程序员节这天上线了一个安全挑战赛模块,里面的内容类似于 CTF 挑战赛,目前共有 10 道题目供用户参与解答。

题目与解答过程/答案

1.页面的背后是什么

地址: http://45.113.201.36/index.html

直接访问,提示需要使用bilibili Security Browser浏览器访问~。

查看源代码,有两段 js 代码:

$.ajax({

url: "api/admin",

type: "get",

success:function (data) {

//console.log(data);

if (data.code == 200){

// 如果有值:前端跳转

var input = document.getElementById("flag1");

input.value = String(data.data);

} else {

// 如果没值

$('#flag1').html("接口异常,请稍后再试~");

}

}

})

$.ajax({

url: "api/ctf/2",

type: "get",

success:function (data) {

//console.log(data);

if (data.code == 200){

// 如果有值:前端跳转

$('#flag2').html("flag2: " + data.data);

} else {

// 如果没值

$('#flag2').html("需要使用bilibili Security Browser浏览器访问~");

}

}

})

尝试访问 /api/admin,返回 json 中的 data 即为 flag1。

2.真正的秘密只有特殊的设备才能看到

将浏览器 UA 改成 bilibili Security Browser,访问页面即可看到 flag2。

Firefox 可以商店安装 User-Agent Switcher and Manager 扩展。

3.密码是啥

地址: http://45.113.201.36/login.html

猜解密码,最终得:

用户名:admin

密码:bilibili

登录即可见。

4.对不起,权限不足

地址:http://45.113.201.36/superadmin.html

访问后提示:有些秘密只有超级管理员才能看见哦~

查看 Cookies,发现 role 一项的值为 user 的 md5。

经过多方查询,得知 role 应该为 Administrator(windows 平台默认管理员)。

浏览器直接改 Cookies 中的 role 为 7b7bc2512ee1fedcd76bdc68926d4f7b,刷新页面即可。

5.别人的秘密

地址: http://45.113.201.36/user.html

访问提示:这里没有你想要的答案。

根据代码得知一个神奇的 uid 100336889,同时有一个接口api/ctf/5?uid=uid。

从 100336889 往后遍历请求该接口,当返回不是 403 时,即为答案。

6.结束亦是开始

地址: http://45.113.201.36/blog/single.php?id=1

群里大佬说的,先访问 /blog/test.php,得到一串 jsfuck,解密后得两个字符串:

"\u7a0b\u5e8f\u5458\u6700\u591a\u7684\u5730\u65b9" ->程序员最多的地方,即 Github

"bilibili1024havefun"

Github 搜字符串 2 找到这个仓库:

https://github.com/interesting-1024/end

根据该文件内容,拼接请求:

http://45.113.201.36/blog/end.php?id[]=1

访问提示:还差一点点啦

php 文件内还涉及到一个 Get 参数 url,填入 url=”/flag.txt”

http://45.113.201.36/blog/end.php?id[]=1&url=/flag.txt

得到一张图片,该图片以文本方式打开,搜索 flag,得到如下字符串:

flag10:2ebd3b08-47ffc478-b49a5f9d-f6099d65

然而这是第 10 题的答案。

7.需要少年自己去探索啦

8.需要少年自己去探索啦

服务器开放了 Redis 端口,没密码:

服务器开启了6379端口,也就是Redis默认端口,直接上

redis-cli -h 45.113.201.36 -p 6379

查询:

keys *

返回结果:

1) "flag8"

查询:

get flag8

得到 flag8 答案。

另外,我尝试往里面添加一个自定义 key,结果被服务器拉黑了。

9.需要少年自己去探索啦

无资料。

10.需要少年自己去探索啦

在第六题的图片中拿到了 flag10。

其他

现在好多人在直接爆破 679 题。

120.92.151.189 貌似挂了,后面的题目应该是迁移到了 45.113.201.36。

Deep Yao
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2022年中职组网络安全国赛A模块题目解析
qq_57147160的博客
04-13 8861
2022年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名.
哔哩哔哩1024安全挑战赛 Bilibili CTF题解(含代码)
u013560932的博客
10-25 4729
题解 2020-10-25 Bilibili在1024节上线了一个CTF挑战赛,非常amazing啊,虽然前面几题还是很简单的,不过大佬太多了,服务器都已经被扫爆了,redis也连不上去,在我做题的时候甚至各种资源文件都已经不存在了,真是诸神混战,活生生把单机打成了联网,我都怀疑是不是有人故意删了资源文件,故意暴力扫描,让后面的人没法做题,拿不到奖品。 第一题 没啥好说的,查看源码,input里面的value就是flag 第二题 更改UA为bilibili Security Browser发送
长春理工大学第六届CTF网络攻防大赛题解(文末有题目下载链接)
山风不打咩的博客
03-30 8710
UPX它的特点就是,如果我们用它对程序进行了压缩,那么我们也可以用它进行解压缩操作。
2024年网络安全最全100道CTF题目,收好了~(附答案)_ctf选择题,2024年最新拥有百万粉丝的大牛讲述学网络安全的历程
2401_84254087的博客
05-11 1000
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
CTF学习(三)
hgjiayou的博客
01-12 378
题: 译文: 你好,游客。 只有管理员才能得到标志。 提示:Cookie欺骗、认证、伪造 思路: 1、整个页面上除了这句话啥也没有 2、查看数据包:发现admin=0 3、尝试使用burpsuite抓取数据包更改cookie值 4、发现flag ...
ajax原生详解,原生Ajax详解
weixin_42515089的博客
08-05 415
原生ajax发送求:1.创建xmlhttprequest对象ie中为activexobject("microsoft.xmlhttp") 早期的ie浏览器2.准备发送3.执行发送动作4.指定回调函数案例:1.html文件初识 ajaxwindow.onload = function(){var btn = document.getelementbyid('btn');btn.onclick =...
BUUCTF笔记之Web系列部分WriteUp(一)
克格莫
04-29 918
1、[极客大挑战 2019]EasySQL
比赛作品-爬虫算法之Bilibili评论及回复.zip
09-30
标题 "比赛作品-爬虫算法之Bilibili评论及回复.zip" 暗示了这是一个关于使用爬虫技术抓取B站(Bilibili)视频评论及回复的数据集或项目。这个项目可能包含了从B站获取用户评论和回复的整个过程,包括数据采集、处理...
BILIBILI年度国风数据报告.pdf
03-24
BILIBILI年度国风数据报告.
计算机网络安全分析和网络攻防SIEM系统建设
06-16
网络安全深度解析 :这篇文章提供了密码学、网络攻防与安全分析的实战指南,包括技术细节、实战应用、优化建议等。 网络安全密码学入门详解 :Bilibili上的视频教程,涵盖了密码体制、密码分析等内容。 网络安全...
unity环形赛车游戏源码
最新发布
06-17
unity环形赛车游戏源码,视频演示地址:https://www.bilibili.com/video/BV1N1VWeqEeN/;unity环形赛车游戏源码,视频演示地址:https://www.bilibili.com/video/BV1N1VWeqEeN/;unity环形赛车游戏源码,视频演示...
ctf网络安全攻防练习题
12-04
ctf网络安全攻防练习题 从N=NP能得到的结论当然是N=1或者P=0,然后结合图片内容,猜测此题跟二进制01有关,信息应该藏在像素中等等
2020-1024程序员节首届哔哩哔哩安全挑战赛Write Up
热门推荐
无限迭代中......
10-24 1万+
第一题 “页面的背后是什么” 指网页源代码 Ctrl+U 查看网页源代码看到向一个地方发送了get求 发送一个求,或者直接找找flag1相关的东西就能找到 第二题 "真正的秘密只有特殊的设备才能看到"指需要使用bilibili Security Browser浏览器访 使用抓包工具抓包 把浏览器(UA)伪造成"bilibili Security Browser" 需要注意的是如果是Postman需要添加Cookie 第三题 “密码是啥” 密码是啥可以自己...
2021-1024程序员节
小单的博客专栏
10-24 533
十年磨一剑,入行已经12年了。 1024程序员节,程序员一个伟大的群体。
哔哩哔哩2021-1024程序员节-安全攻防赛1-4解
m0_46736332的博客
10-25 853
哔哩哔哩2021-1024程序员节-安全攻防赛1-4解 萌新方向 1. 安全攻防–1 题目链接:https://security.bilibili.com/sec1024/q/r1.html 打开之后发现 f12 抓包 都没有结果,看了看链接,也没有扫文件的必要了。ctf中我们要充分利用到每个出现的字。既然说了是解密,那就从解密下手,肉眼观察字符串我们无法去辨认这串字符的加密方法。happy_1024_2233也看不出来什么,后来我有一个朋友跟我说是aes加密,happy_1024_2233是密钥,那直接

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值