ISCC 2018 (Please give me username and password)

最新推荐文章于 2021-05-25 19:35:59 发布
最新推荐文章于 2021-05-25 19:35:59 发布
阅读量244 收藏 1
点赞数
原文链接:https://yq.aliyun.com/articles/649122
版权

做过iscc 2018之后有了很多的感触,也有更多的了解自己的不足之处,整理了一下web的wp,

为了保证各位小伙伴的阅读质量,我将会把wp以每一道题一个博文的形式写出来,希望能够帮助到你们

其中的步骤比较详细,主要是为了萌新更好的看懂每一步,希望各位能够体谅一下下!!

 

解题思路:题目地址:http://118.190.152.202:8017/打开发现只有这句话,查看源码也一样。打开BurpSuite,设置浏览器代理,刷新页面得到:

然后添加请求头:?username=&password=刷新页面就会得到:

在浏览器URL后加入index.php.txt,发现源代码:

分析代码发现,提交的username和$flag的值进行比较用的是strcasecmp函数它和strcmp的区别是他的比较不区分大小写,但是已经存在漏洞,传入数组依旧会得到0,轻松绕过。输入的password需要是字母或数字,并且长度最大是3位值要大于999,最后就可以得到flag。因此构造GET提交的参数username[]=&password=1e4成功得到flag:

 

您可以考虑给博主来个小小的打赏以资鼓励,您的肯定将是我最大的动力。

微信 支付宝
作者: 落花四月
关于作者:潜心于网络安全学习。如有问题或建议,请多多赐教!
版权声明:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接.
特此声明:所有评论和私信都会在第一时间回复。也欢迎园子的大大们指正错误,共同进步。或者直接私信我
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角【推荐】一下。您的鼓励是作者坚持原创和持续写作的最大动力!
weixin_34167043
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF Web题 部分WP
wywwzjj
11-26 12万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
深入理解计算机系统 - 练习题 - 第三章 (练习题3.32)
知其所以然
02-14 2146
一个C函数的fun具有如下代码体 *p  =  d; return x - c; 执行这个函数体的IA32代码如下: 1 movsbl 12(%ebp),%edx 2 movl  16(%ebp),%eas 3 movl %edx,(%eax) 4 movswl 8(%ebp),%eax 5 movl 20(%ebp),%edx 6 subl %eax
ISCC:Please give me username and password!
weixin_30877181的博客
10-31 189
地址:http://118.190.152.202:8017/ 题目说 给用户名和密码, 构造url为:118.190.152.202:8017/?username=sda&password=sdad 返回 查看源码 知道文件index.php.txt,进入查看,得到php代码: 查看代码得知,必须满足usernamepassword的条件,username我也不知道...
合天实验室CTF web100 Give Me Flag
苟有恒,必有三更眠,五更起。
02-06 3180
web100 Give Me Flag 下载下来记事本打开: 发现是一堆乱码,但是看到 function $() { var e = document.getElementById("c").value; if (e.length == 16) if (e.match(/^be0f23/) != null) if (e.match(/233ac/) != null)
ISCC2018 Misc WriteUp
lacoucou的专栏
05-25 2159
1.What is that?   [分值:50]题目描述:Where is the FLAG? 文件下载地址: http://iscc2018.isclab.org.cn:4000/static/uploads/e8b1b391b0fec74623d43950fb95458a/ISCC-MISC05.rar附件中为一张图片。png格式:用010editor未发现有什么附加数据。其他的文件信息也没...
ISCC 2018 WEB WriteUp
lacoucou的专栏
05-25 1938
1.php是世界上最好的语言  [分值:150]题目描述:                                            php是世界上最好的语言 听说你用php? 题目地址: http://118.190.152.202:8005/题目内容:关键是在 md5(&password)这里,搜索一下,找到:https://blog.csdn.net/vspiders/...
第15届(2018)全国大学生信息安全与对抗技术竞赛(ISCC2018)通知
ISCC的博客
05-03 1万+
第15届(2018)全国大学生信息安全与对抗技术竞赛(ISCC2018)通知 1 竞赛简介 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使...
ISCC 2018 Reverse WriteUp
lacoucou的专栏
05-22 4770
1.RSA256 [分值:100]问题描述:2.My math is bad [分值:150]问题描述:I think the math problem is too difficult for me. flag:flag{XXXX}程序是一个ELF程序,x64的,用IDA打开:判断逻辑很明显:_int64 __fastcall main(__int64 a1, char **a2, char *...
ISCC2022题目附件
06-06
信息安全与对抗技术竞赛(ISCC:Information Security and Countermeasures Contest),于2004年首次举办(国内第一),2022年大学生竞赛为第19届,中小学生信息安全对抗赛为第11届,河南赛区为第10届,广西赛区为第...
关于ISCC2013的思路整理
王意林的专栏
07-11 4381
这一次ISCC初赛,感觉自己变牛逼了一点,本来想把所有题作完再来整理的,结果内核突然出了好几道超变态的题。顿时没有心思做了。 以前都是分大体写,这次写在一起吧。 //======================================格叽格叽========================================== 入门题 很恶心的选择题,百度 google 各凭本事
SecureCRT通过SSH服务登录ubuntu出错:Password authentication failed, Please verify that the username and passw
热门推荐
xieyi2015的专栏
04-29 1万+
1. 首先确保ubuntu安装ssh服务。通过ps -e | grep ssh查看,如果 sshd表示ssh已成功启动。 2. 通过SecureCRT登录ssh服务 提示错误:Password authentication failed, Please verify that the username and passwd are correct. 3. 经过一番检查,发现/
ISCC2021-MISC_我的折扣是多少-WP
qq_42667177的博客
05-25 1065
1、下载附件后有如下三个文件,很明显这题后面会涉及到音频的隐写。 2、按照give_me_discount的顺序进行解密。 (1)give.exe点开后一闪而过,手速快的可以截个屏查看,或者用IDA查看源码后设置断点。运行结果是UTF-16编码的三个字母。 (2)解码后可得该三个字母为“krw”。 (3)根据pass1这个提示可以知道这只是密码的一部分,接下来将me.zip用010editor打开查看Hex File,可发现最后有一段base64编码,拿去解码即可得pass2。 cGFzczJ7Z.
使用R语言中的Fuzzy C-Means算法对iris数据集进行模糊聚类分析
09-03
在这项分析中,我们使用R语言对经典的iris数据集进行了模糊聚类分析,采用了Fuzzy C-Means(FCM)算法。Fuzzy C-Means是一种改进的聚类算法,允许每个数据点以不同的隶属度(概率)属于多个簇,而不仅仅是硬性分配到单个簇。这种方法特别适用于数据点之间界限不清晰的情况,通过计算每个数据点到各个簇中心的距离来确定其隶属度,从而生成更灵活的聚类结果。 在该分析中,我们首先从iris数据集中提取了四个数值变量——花萼长度、花萼宽度、花瓣长度和花瓣宽度。接着,我们加载了R中的cluster包,并使用其中的fanny函数执行Fuzzy C-Means聚类。我们设定了聚类数为3,这是因为iris数据集中的物种数为3个,虽然我们事先知道这些类别,但我们通过算法进行盲分类,以便验证其效果。 fanny函数的一个重要特点是其模糊指数参数(memb.exp),该参数决定了隶属度的模糊性。设置为较高的数值会使聚类结果更加模糊,即数据点可能较均匀地分布在多个簇中;而较低的数值则使得聚类结果更接近传统的硬聚类。
【中科院1区】Matlab实现粒子群优化算法PSO-SAE实现故障诊断算法研究.rar
最新发布
09-03
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
基于Web的农产品直卖平台+源代码+开题报告+演示视频.zip
09-03
计算机网络发展到现在已经好几十年了,在理论上面已经有了很丰富的基础,并且在现实生活中也到处都在使用,可以说,经过几十年的发展,互联网技术已经把地域信息的隔阂给消除了,让整个世界都可以即时通话和联系,极大的方便了人们的生活。所以说,农产品直卖平台用计算机技术来进行设计,不仅在管理方面更加的系统化,操作性强,最重要的是关于数据的保存和使用都能节约大量的时间,该系统非常的好用。 农产品直卖平台管理数据的工具是MySQL,编码的语言是Java,运用的框架是Spring Boot框架。该系统可以实现商家信用类型管理,农产品信息管理,农产品评价管理,商家管理,农产品订单管理,公告信息管理,用户管理等功能。 农产品直卖平台不仅能让操作人员使用更加地方便,并且设计的也很合理,能有效的避免误操作,让数据在录入的环节就符合设计需要,极大的规避了源头性的输入误差,顺利的让数据变得更加可控并且可靠,让出错的几率降到最低。 关键词:农产品直卖平台;农产品;评价;订单
PHP基于Linux的远程管理系统服务器端的实现(源代码+LW).rar
09-03
PHP基于Linux的远程管理系统服务器端的实现(源代码+LW).rar
基于javaweb的流浪宠物管理系统+源代码+开题报告+演示视频.zip
09-03
当下,正处于信息化的时代,许多行业顺应时代的变化,结合使用计算机技术向数字化、信息化建设迈进。传统的流浪宠物信息管理模式,采用人工登记的方式保存相关数据,这种以人力为主的管理模式已然落后。本人结合使用主流的程序开发技术,设计了一款基于Java Web的流浪宠物管理系统,可以较大地减少人力、财力的损耗,方便相关人员及时更新和保存信息。本系统主要使用B/S开发模式,在idea集成开发环境下,采用Java语言编码设计系统功能,MySQL数据库管理相关的系统数据信息,SSM框架设计和开发系统功能架构,最后通过使用Tomcat服务器,在浏览器中发布设计的系统,并且完成系统与数据库的交互工作。本文对系统的需求分析、可行性分析、技术支持、功能设计、数据库设计、功能测试等内容做了较为详细的介绍,并且在本文中也展示了系统主要的功能模块设计界面和操作界面,并对其做出了必要的解释说明,方便用户对系统进行操作和使用,以及后期的相关人员对系统进行更新和维护。通过设计基于Java Web的流浪宠物管理系统,可以极大地提高流浪宠物管理的工作效率,提升用户的使用体验。 关键词:流浪宠物管理,Java语言,B/S结
ISCC竞赛题库解析:网络与安全核心技术
本文档是一份ISCC2020比赛题库,主要涵盖网络安全、CTF(Capture the Flag,网络安全技术竞赛)和信息安全相关的知识。题库涉及多个概念和技能点,旨在测试参赛者的理论理解和实践操作能力。 第1题考察网络通信模型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值