小白首次打CTF,思路详解记录

最新推荐文章于 2024-07-13 09:32:48 发布
最新推荐文章于 2024-07-13 09:32:48 发布
阅读量1.7k 收藏 7
点赞数 1
文章标签: CTF Brup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37990514/article/details/102502233
版权

引言

小编第一次接触CTF,有点儿刺激啊/捂脸 一脸懵逼的那种刺激,但是在好心人的帮助下终于完美解决了三个问题!

正文

题一:
访问http://124.16.71.227:40000/1/,看到题目“找flag”,用brup查看报文
可以看到cookie项包含FLAG信息:在这里插入图片描述=ZmxhZ3tjb29raWVzLWNvbnRhaW4taW5mb30%3D
这是一串base64编码的加密信息,先用url解码,将末尾的%3D转换为=,再用base64解码刚刚url解码得到的字符串,找到了flag。
在这里插入图片描述
在这里插入图片描述题二:
访问http://124.16.71.227:40000/2/,看到页面中有登录输入框,于是随便输入用户名1,点击login,看到:
在这里插入图片描述

于是换成root登录,发现仍然不合法,
在这里插入图片描述

于是再次使用用户名1登录,使用brup拦截请求报文,手动将请求报文中的登录名改为root,
在这里插入图片描述
再次尝试发现仍然存在错误,提示host名不对,
在这里插入图片描述

于是手动将请求报文中的name改为root, host改为127.0.0.1,
在这里插入图片描述
最终得到了flag。
在这里插入图片描述

题三:
访问http://124.16.71.227:40001/csrf,题目是说下面表单被django csrf中间件保护,尝试点击get flag按钮,发现:
在这里插入图片描述
没有思路,于是查看源代码,发现了注释信息:
在这里插入图片描述
于是将请求报文中的csrfmiddlewarewtoken的值改成bypass,点击get flag按钮,发现禁止访问,
在这里插入图片描述
通过阅读禁止信息,发现,csrftoken值缺失或者不正确,因为之前修改了csrfmiddlewarewtoken的值,猜测这两个值应该一样,于是手动将请求报文中的csrftoken改为bypass,
在这里插入图片描述发送报文,得到了flag。
在这里插入图片描述

雾十
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF解题思路
悦分享
07-21 1788
根据题意可能数据包中存在文件传输,尝试直接导出,选择File(文件)-->ExportObjexts(导出对象),然后可以看到一些协议,比如选中http就可以看到通过http传输的一些文件,在右下角有导出按钮,可生生成相应的文件。但是本题中无法用此方法直接看到被下载的文件,因为有些文件是直接通过tcp或udp协议传输的,http协议只能看到的访问的链接,但不会看到传输的内容(比如你去访问放一个链接download.php?第二到第五个都是一样的长度,第六个为1777,应该是剩余的最后一部分数据。...
CTF-Crypto 出题思路与解题思路
Jang2023的博客
06-30 3539
ctf 夺旗赛解题思路 crypto密码学
ctf解题思路
weixin_49757373的博客
01-10 390
老虎:爆破得到密码进去后看到图片上有flag,看起来是md5,md5解后得到this_is_flag re:丢进ida查看主函数,发现一串16进制666c61677b54686973697361656173797265217d,转换成字符串得到flag 签到:转换成10进制后,每个数字加1.,然后再转成ascii,得到flag ...
为什么我强烈推荐大学生打CTF!看完你就懂了!
最新发布
2402_84205067的博客
07-13 1020
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
CTF 比赛思路总结 PPT 含学习链接
09-13
信息收集 代码审计 web漏洞汇总 工具使用技巧 高级漏洞利用 web思路
CTF题库解题思路.xls
01-25
CTF题库解题思路
记录ctf解题过程及脚本.zip
10-25
记录ctf解题过程及脚本
工匠杯-CTF(题目+exp+解题思路
04-01
CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值...
CTF杂项解题思路探究.zip
02-26
"CTF杂项解题思路探究"通常指的是那些无法归类到特定领域的题目,它们可能涉及多种技能的综合运用。本压缩包中的资源提供了对这类问题解决方法的探讨。 首先,"分享地址.txt"可能是包含一些链接或者线索的文本文件...
CTF线下赛思路总结手册.pdf
06-08
CTF线下赛思路总结手册
第一次打ctf
m0_62314360的博客
11-14 3360
第一次打CTF,只写出了两题。 第一题: 题目描述为传统加密,即凯撒密码,维吉尼亚密码,栅栏加密等等。 下载打开附件txt文档 文档中分为两部份,猜想有两次加密,step1中:eyscmwluwegy应该是凯撒密码加密 使用工具去尝试后解得一句明显的英文:keyiscrackme。由于维吉尼亚密码中需要密钥,所以第一步解出来的明文应该是用于解第二步中的密钥将crackme带入可得 很明显后面两句中包含了本题flag即“ZmxhZ3t lN HN5X21 hbm5 ubm5..
网络安全专业,在校大学生如何赚外快,实现财富自由?
kjuhfkicf154的博客
05-30 1899
网络安全接私活太香了!
CTF如何入门
weixin_33806914的博客
04-22 1786
声明:文字整理自i春秋课程,感谢视频作者幻泉分享。 题目类型 Web Crypto PWN Misc stego forensic … Reverse PPC(Professonal ProgramCoder) 国际比赛:DEFCON资格赛 国内比赛:XCTF联赛 打CTF的意义 思维...
BugKuCTF中套路满满的题-------login3(SKCTF)
qq_42133828的博客
02-09 3048
根据题目给的提示,无疑是基于bool的盲注,而关于盲注的一般都与脚本有关,毕竟很少人会去一个一个猜 然而,再用脚本解决这个问题时,也需要找到准确的注入语句,否则,白费。。。 首先进入页面一试用户名为admin,发现密码报错(说明此用户存在,那么关键的问题就是密码了。。): 再构造语句,进行几次的基于bool盲注的注入,查看一下有没有绕过一些特殊的语句 username='^(1)^1...
如何开始CTF
千尺浪的博客
10-18 1293
如何开始CTF比赛之旅 作者:赵阳 在过去的两个星期里,我已经在DEFCON 22 CTF里检测出了两个不同的问题:“shitsco”和“nonameyet”。感谢所有的意见和评论,我遇到的最常见的问题是:“我怎么才能在CTFs里开始?”在不久前我问过自己一样的问题,所以我想要给出些对你追求CTFs的建议和资源。最简单的方法就是注册一个介绍CTF的帐号,如CSAW, Pico CTF, M
什么是CTF?打CTF的意义是什么?(附网络安全入门教程)
2302_77302329的博客
05-15 3106
CTF在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。它起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式
什么是网络安全CTF有何意义?该如何入门?
bluemoon_0的博客
03-15 180
CTF在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。它起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCONCTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。
小白CTF之旅——第0站
小小鱼的博客
07-26 987
第一次听说CTF这个名词是在大一刚刚开学那会儿,听老师还有学长说既然选择了信息安全这个专业并且希望走入安全领域,尝试一下CTF还是很有必要的,于是乎作为一个彻头彻尾的小白的我决定开始自己的CTF之旅。         我打算用博客来记录我的旅程——一方面可以拿来当笔记,没事可以翻看翻看;另一方面也是一种总结,一种经历,记下自己的收获和改变,相信若干年以后再看看这些文章一定有会有所感慨,就算没有收
思路很重要
onlinee的博客
08-04 1773
以下转自实验吧一篇writeup ,尊重作者智慧结晶,属于转载。。附上writeup地址:http://www.shiyanbar.com/ctf/writeup/448 实验题目是:http://ctf4.shiyanbar.com/web/9/ 开始时有点晕老在源码结构上找,其实题目和源码的注释有很大的关联,所以思路很重要。。。。 以下截取writeup部分内容
CTF题库详解:理论知识与常见漏洞解析
本文档主要包含了关于计算机应急响应(CTF)理论考核题及其答案,涵盖了一些基础的IT知识,包括文件系统、Web开发、网络安全、操作系统、数据库和HTTP协议等。 1. 题目涉及到文件扩展名的理解,指出`.txt`是`readme....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值