一次CTF夺取Flag的过程

最新推荐文章于 2024-08-10 14:26:55 发布
最新推荐文章于 2024-08-10 14:26:55 发布
阅读量1.7k 收藏 5
点赞数 1
分类专栏: 安全测试:web\app\工具 文章标签: mysql 信息安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/106049299
版权

目录

夺取Flag

Nmap扫描端口

dirb 或者 dirsarch,御剑等工具进行目录遍历

图片隐写

POST注入

插入木马获取shell

夺取Flag

Nmap扫描端口

dirb 或者 dirsarch,御剑等工具进行目录遍历

发现网页源代码信息

 

图片隐写

通过目录遍历发现信息

下载下来进行破解

POST注入

登录页面存在注入

破解密码:

用户名admin@isints.com

密码 killerbeesareflying

登录成功

插入木马获取shell

在数据库中写入木马

菜刀接入

无权限打开文件

提权

从数据库中搜索root信息

结束!!!

战神/calmness
关注
专栏目录
XXE靶机夺取Flag复现
a1245678899的博客
10-15 630
1.首先用netdiscover对kali同一网段的进行探测。15.将其编入文档进行后进行访问得到flag.5.对这两个目录进行访问发现了两个登录页面。6.使用burpsuit对其进行抓包处理。14.对其进行base64解码发现。12.对其进行解码发现新的路径。13.进行重发以后的到新的代码。4.发现了两个禁止访问的目录。
CTF之音频隐写
龙乐的专栏
08-15 2万+
题目一:这有点刺耳.wav,首先用Audacity工具打开“这有点刺耳.wav”文件 选中方框中的下三角,选中频谱图既得flag。 题目二:为i春秋里的“永不消逝的电波”,下载下来的音频文件为“60361A5FC9308684F5B1CBFBF84A6CF0.mp3”,拖入Audacity,并适当放大: 播放后明显为摩斯密码,所以先转换为摩斯电码: .... .-.. . .....
CTF音频文件得到flag 使用工具MP3Stego
share one的博客
04-09 2万+
萌新 第一次得到flag 写一下自己的思路吧 看到音频文件,于是百度怎么解决mp3文件得到flag 于是找到工具MP3Stego,下载放到E盘  进入电脑的cmd,需要换盘到你存储的盘, 操作如下 1.开始->运行->CMD 2.进入某个磁盘,直接盘符代号:如D:,不用CD 命令切换 3.进入除根录以下的文件夹 cd 文件夹路径 例如我要进入 E:/Program Fil
关于CTF的基础知识
最新发布
2201_75735270的博客
08-10 1055
CTF比赛一般分为线上赛和线下赛。通常来说,线上赛多为初赛, 线下赛多为决赛, 但是也不排除直接进行在CTF中主要包含以下5个大类的题目,有些比赛会根据自己的侧重点单独添加某个分类,例如移动设备(Mobile)电子取证(Forensics)等,近年来也会出来混合类型的题目,例如在Web中存在一个二进制程序,需要选手先利用Web的漏洞获取到二进制程序,之后通过逆向或是Pwn等方式获得最终flag
CTF 音频隐写 大总结
algae
04-21 3万+
赛题概览Nuit du Hack CTF Qualifications: Here, kitty kitty! 环境 Windows 考察点 WAV音频文件隐写术 Python基础 密码学 工具Audacity 题目描述 I just can’t get enough of this sweet melody, I can listen to it for hours! Sometim...
CTF之misc-音视频隐写
热门推荐
Battery的博客
05-03 13万+
注释:音视频隐写主要是针对一些特定的音乐,在听或者查看的过程中会存在比较明显的特征,认真查看就能得到flag 1.MP3: (1) MP3stego 当你拿到一个MP3文件时不要手足无措,先试试MP3stego 用法:decode -X -P 密码 mp3文件 (2)波形: 通常来说,波形方向的题,在观察到异常后,使用相关软件(Audacity, Adobe Audition 等)观察波形规律,将波形进一步转化为 01 字符串等,从 而提取转化出最终的 flag。 (3)频谱: 音频中的频谱隐
CTF训练笔记(五)- 一些获取FLAG的方法总结(待续)
morrino的博客
04-21 2万+
- 注意开放了未知服务的端口,可以使用nc工具获取对应的Banner信息; - 当命令疑似被过滤时,尝试使用相近的shell命令绕开过滤,如‘cat’换成‘more’; - 不放过任何可利用服务和细节,哪怕可能会做无用功; [CTF训练笔记系列 - 快速导航](https://blog.csdn.net/morrino/article/details/116036237)
CTF从入门到提升(一).docx
12-18
CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,或者文件中某一个固定格式...
CTF的第一次了解
qq_73684425的博客
10-13 2077
CTF 一、CTF的定义:CTF是什么? CTF 是 Capture The Flag 的简称,中文译作夺旗赛,其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜,当有一方的旗帜被敌军夺取,就代表了那一方的战败。在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。在比赛中,选手们的任务往往是在获取服务器后寻找指定的字段,或者文件中某一个固定格式的字段,这个字段叫做 flag,其形式一般为 flag{xxxxxxxx},提交到裁判机就即可得分。 二、CTF的起源。 CTF
网络安全夺旗5个flag靶机详细实操教程
06-14
【网络安全夺旗5个flag靶机详细实操教程】是一篇针对网络安全初学者的实践教程,旨在通过实际操作,帮助学习者掌握网络安全攻防的基本技能。教程覆盖了环境搭建、靶机扫描、漏洞利用和权限提升等多个环节。 首先,...
CTF夺旗战 基于Behavior Designer和DoTween插件.zip
12-29
在IT行业中,CTF(Capture The Flag)是一种流行的网络安全竞赛,参与者通过展示各种技术技能来攻防对抗,争夺虚拟“旗帜”以得分。本资源"CTF夺旗战 基于Behavior Designer和DoTween插件.zip"似乎是一个与游戏开发...
CTF——MISC——音频隐写整理
小锤队长的博客
11-23 2万+
Table of Contents 1,你真的很不错(flag.wav; 音频波形转摩斯密码) 1.2,lookme(flag.wav; 高低波形转换) 2,我爱我的祖国(flag.mp4 ; NTFS交换数据流,以音频为主数据流) 3,用眼睛去倾听(flag.wav; 音频频谱隐藏) 4,音乐永不停止(flag.mp3; MP3音频文件隐写) 5,Silente...
CTF一次曲折获取Flag过程
zhangge3663的博客
05-31 4847
Hello各位朋友们,我是小杰,今天我们继续CTF之旅。 好,直接步入正题,先看看这次的题目描述。 通过题目描述,是有一个什么鬼机器人,能和世界进行交流巴拉巴拉......初步确定是需要获取两个Flag,题目的关键字是“枚举”。 好的,打开靶标系统~ 映入眼帘的就是这个CHILL HACK的字样,还有一个“骷髅头”。下边有一处登陆系统的地方。 很好,打开我们的“hack”机器——Kali2020。(这里为什么不用忍者系统一会儿说明。) 首先确定我们攻击机的IP地址:192..
CTF基础知识
m0_65849838的博客
04-26 6303
文章目录一. CTF简介1.开启题目并点击题目附件2.得到正文和flag①正文②FLAG二.竞赛模式1.开启题目并点击题目附件2.正文和flag①正文理论知识Jeopardy-解题AwD-攻防模式AWP-攻防增强RHG-自动化[ AI自动化]RW-真实世界KoH-抢占山头Mix[混合]②flag三.比赛形式1.开启题目并点击题目附件2.正文和flag①正文线上线下②flag四.题目1.开启题目并点击题目附件二.正文和flag①正文WebPwnReverseCryptoMisc②flag 一. CTF简介 1
2021-07-04 CTF夺旗赛 CTF 黑客大赛导引
时光隧道
07-04 5万+
CTF 黑客大赛导引 目的 介绍CTF比赛 CTF比赛需要的知识储备 CTF比赛的神器 CTF比赛的作用 CTF比赛的经验 一:CTF比赛 “夺旗大赛” 比赛形式 1.挖掘漏洞,利用漏洞进入对方电脑,拿到关键文件 /home/www/flag /home/ctf/flag 比赛历史与背景 种类 cft xcft--->强网杯 tcft defcon ctf 2.形式 1.ctf线上赛 web 二进制 杂项 2.ctf线下赛 web漏洞挖掘与利用---10% pwn漏洞与利用----90
dirsearch的安装(非常详细)和使用
永不落的梦想
06-18 2万+
网站敏感目录扫描工具dirsearch的详细安装和使用
dirsearch使用教程(Windows版本)
qq_43006864的博客
12-14 3万+
dirsearch的简单使用教程(win版)
2020第五空间 web writeup
a3320315的博客
06-27 3417
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 2559
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
ctf flag.php
09-05
CTF(Capture The Flag)是一种网络安全竞赛,旨在测试参与者在不同领域中的技术和解决问题的能力。Flag.php 是可能是一个任务或挑战中的一个文件名,但我无法提供具体答案。如果你在参与CTF比赛,我建议你仔细审查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值