[LitCTF 2023]Flag点击就送!

最新推荐文章于 2024-07-21 16:49:11 发布
最新推荐文章于 2024-07-21 16:49:11 发布
阅读量387 收藏 11
点赞数 8
文章标签: 学习方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74020633/article/details/136661917
版权

写这个主要是见识到了两个新的东西,一个是session,一个是flask-session加密解密

那么主要是学习到session,另外一个其实是一个小工具,在python3或者python2环境下运行

好的,那就浅浅说一下我看了一些wp和文章后了解到的session:

http协议是一种无状态的协议,在同一个用户的第一次和第二次的时,是完全不相关的,可是有些数据是需要保存的,来方便用户,那么session就能解决这个问题,session就像一个box,把用户的所有信息保存,并贴上一个独有的标签符,把标识符保存在cookie中;当同一个用户再次提出请求时,从cookie中解析标识符,再通过标识符在session中匹配返还信息;

这题一开始我给的值是123,抓包

cookie中就能看见session中的值,用base64解码一下

有些乱码,但是能看出来,session已经给了一个标识符,那么要管理员才能行,这里我们的就要更改一下这个标识,用管理员的身份去返还信息(如果是在一开始就尝试admin是失败的,应该是session的原因吧)

这里我是看了wp才知道是flask-session加密的,不过如果能找到源码,也是能发现文本框架是flask的

解密:python flask_session_cookie_manager3.py decode -s “秘钥” -c “session值”
加密:python flask_session_cookie_manager3.py encode -s “秘钥” -t “session值”

这里需要秘钥,秘钥是盲猜的LitCTF,这个只能是说根据当时的情况来猜了

加密后,修改session就能返还出之前admin的所有信息,也就能拿到flag了

MissAnYou
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
golang flag简单用法
09-20
在Golang中,`flag`包提供了一个标准库,用于处理命令行参数。这个包使得在Go程序中解析命令行选项变得非常简单。本篇文章将深入讲解如何使用`flag`包,通过一个简单的实例帮助理解其基本用法。 首先,我们需要导入...
解析bam文件中flag标签
02-10
解析bam文件中flag标签
[LitCTF 2023]Flag点击!(cookie伪造)
Welcome To Myon'Blog !
05-22 2175
cookie伪造、session、flask、Python、json
LitCTF-2023-web部分
m0_74097148的博客
05-18 1779
也有多种解法,当然如果上传有黑名单限制 但是远程下载没有 则可以用远程下载去下载PHP木马文件,然后剩余的步骤和上传木马的操作一样 不多做说明。并且题目提示我们只有username, password两列, 不需要group by去判断列数了。输入如下图的内容, 下载后点击编辑文件即可看到flag。如果想要了解更多关于http头部的信息可以参考。
[LitCTF 2023]Flag点击!--session伪造
qq_75120258的博客
04-18 876
由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,这就要求必须实现有状态,而session机制实现的就是这个功能。 用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;这段状态信息分配了一个唯一的标识符用来标识用户的身份,将其保存在响应对象的cookie中;当第二次请求时,解析cookie中的标识符,拿到标识符后去session找到对应的用户的信
[LitCTF 2023]刷题记录
rev1ve的博客
05-17 772
提示我们不是来自于pornhub.com,利用Referer。发现为文件上传,直接传php发现成功(啥过滤都没有)F12一下发现提示admin,admin,直接登录。题目提示vim编辑器,用kali打开文件。发现题目已经告诉我们sql语句的闭合方式。直接去/.index.php.swp下。我们ping一下,127.0.0.1。直接在game.js找到flag。我们得伪造admin,加密一下。打开题目,直接js找flag。发现有过滤,要绕过前端检测。再次输入命令,得到flag。找了半天,发现是改过的。
OS_FLAG.rar_flag uc
09-23
标题“OS_FLAG.rar_flag uc”和描述“ucOs-ii完整源代码,极其方便用户调用”提及的是一个与操作系统相关的项目,特别是“ucOs-ii”的源代码。ucOs,全称为MicroC/OS-II,是一个实时操作系统(RTOS)内核,广泛应用...
OS_FLAG.rar_os_flag
09-23
《深入解析UC/OS-II操作系统在ARM7上的移植与OS_FLAG.C源码分析》 UC/OS-II,全称为uC/OS-II,是一款实时嵌入式操作系统(RTOS),由Micrium公司开发,广泛应用于各种嵌入式系统,尤其是那些对实时性要求较高的场合...
SICTF 2023 真题
09-10
【标题】"SICTF 2023 真题"揭示了这是一场网络安全竞赛,CTF(Capture The Flag)是此类竞赛的常见形式,通常涉及逆向工程、密码学、网络攻防等多方面的技术挑战。SICTF(可能是某个特定组织或地区举办的网络安全...
LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分
Aluxian_的博客
05-14 6630
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF
2023LitCTF web组wp
m0_74160536的博客
05-17 1076
1、导弹迷踪2、1zjs3、php是世界上最好的语言!!4、Ping5、我Flag呢?7、作业管理系统8、Vim yyds10、这是什么?SQL!注一下!11、Flag点击!12、就当无事发生13、彩蛋。
LitCTF2023 郑州轻工业大学网络安全赛--web方向
qq_44640313的博客
05-18 581
LitCTF2023--web方向wp
刷题记录 【LitCTF 2023】导弹迷踪
qq_74414939的博客
05-18 669
根据题目提示,需要通过6关才能拿到flag。于是点击进去,进入之后是下面这个页面。但是这个游戏也忒难了,玩了几次都没能过6关。在页面的源码里面看了好一会儿,也没看见什么flag。于是我们换个思路,去看看其他文件。点击查看器右边的调试器,发现在src目录下面有一些js文件,于是我们逐一查看。终于在game.js里面发现了flag。将其改为NSSCTF形式即可。于是按照惯例,我们先通过F2打开源代码看看。(以Firefox为例)不过一般来说,拿flag都是不用玩游戏的。
CTFshow_年CTF 2023
weixin_45908624的博客
01-28 774
_年CTF
LitCTF2023 Reverse 题解及复现
OrientalGlass的博客
05-14 2349
使用解包工具时要注意环境问题,这题是python3.8编写的,所以要用python3.8的环境,否则会缺少输出文件,建议使用anaconda管理python版本。关键代码是最后一段对flag的操作,不过这里可能是有意为之或者是反编译的问题,意思应该是flag[i]和flag[i+1]的数据异或后互换。经典的base64换表,第10和11行作用重复,12行也没有实际作用,此处的base表根本没有变化。关键就在于Probee代码中调用了check函数,该函数定义在ch中,分析程序逻辑不难写出解题脚本。
The 7 Most Common Learner Mistakes(2)7种最常见的错误学习方法(二)
最新发布
挑大梁的专栏
07-21 301
举例来说,掌握编程技能就不是一个可行动的目标,而选择一门具体的Ruby课程并在下个月深度地学习则是可具体操作的。你需要把你的学习愿望转化成具体的学习项目,选择你将要学习的内容(或者你将遵循的约束条件)。这意味着,不论你的课本或老师多么给人启迪,你都既可以选择以一种有趣的方式学习,也可以选择以一种无趣的方式学习。有时候问题不在于你,或你的某个习惯,而是你所处的环境阻碍了你的成功。没人想要暴露自己的无能。没人希望周围的人发现自己是唯–个没听懂讲座的人,唯-一个不会解黑板上的题目的人,或唯-一个说话有口音的人。
The 7 Most Common Learner Mistakes(1)7种最常见的错误学习方法(一)
挑大梁的专栏
07-21 181
事实上,F=ma不过是一个深刻得多的思想的外皮,它所描述的是物体如何运动。看着这个公式,你应该能够迅速反应出一块10磅的石头需要两倍的推力,才能获得和一块5磅的石头同样的加速度。只记忆这些知识点的不足在于真正需要学习的是这些知识点之间的联系,以及它们所表达的更深刻的思想。之后,你就可以用这个笔记本来问自己相关的问题。在某种程度上,这些步骤或许有用,但如果你把大部分时间都花在这些方面而不去练习,学习的效果就会打折扣。在同等的天赋和努力下,你的学习环境就是那个重大的改变,会深刻影响你所学到的知识的多与寡.
[经验] 孙叔敖举于海,百里奚举于市的翻译 #学习方法#学习方法#微信
2401_82854246的博客
07-20 328
孙叔敖举于海,百里奚举于市的翻译。
思维导图2023flag
09-17
2023flag则是指2023年的旗帜,结合这两者,我来讲一下思维导图在2023年可能的应用。 首先,随着信息时代的发展,思维导图将在2023年继续发挥重要的作用。人们在处理大量信息时,往往容易迷失在琐碎的细节中。而思维...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值