[LitCTF 2023]Flag点击就送!

最新推荐文章于 2024-08-12 22:10:05 发布
最新推荐文章于 2024-08-12 22:10:05 发布
阅读量401 收藏 11
点赞数 8
文章标签: 学习方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74020633/article/details/136661917
版权

写这个主要是见识到了两个新的东西,一个是session,一个是flask-session加密解密

那么主要是学习到session,另外一个其实是一个小工具,在python3或者python2环境下运行

好的,那就浅浅说一下我看了一些wp和文章后了解到的session:

http协议是一种无状态的协议,在同一个用户的第一次和第二次的时,是完全不相关的,可是有些数据是需要保存的,来方便用户,那么session就能解决这个问题,session就像一个box,把用户的所有信息保存,并贴上一个独有的标签符,把标识符保存在cookie中;当同一个用户再次提出请求时,从cookie中解析标识符,再通过标识符在session中匹配返还信息;

这题一开始我给的值是123,抓包

cookie中就能看见session中的值,用base64解码一下

有些乱码,但是能看出来,session已经给了一个标识符,那么要管理员才能行,这里我们的就要更改一下这个标识,用管理员的身份去返还信息(如果是在一开始就尝试admin是失败的,应该是session的原因吧)

这里我是看了wp才知道是flask-session加密的,不过如果能找到源码,也是能发现文本框架是flask的

解密:python flask_session_cookie_manager3.py decode -s “秘钥” -c “session值”
加密:python flask_session_cookie_manager3.py encode -s “秘钥” -t “session值”

这里需要秘钥,秘钥是盲猜的LitCTF,这个只能是说根据当时的情况来猜了

加密后,修改session就能返还出之前admin的所有信息,也就能拿到flag了

MissAnYou
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023LitCTF web组wp
m0_74160536的博客
05-17 1165
1、导弹迷踪2、1zjs3、php是世界上最好的语言!!4、Ping5、我Flag呢?7、作业管理系统8、Vim yyds10、这是什么?SQL!注一下!11、Flag点击!12、就当无事发生13、彩蛋。
golang flag简单用法
09-20
在Golang中,`flag`包提供了一个标准库,用于处理命令行参数。这个包使得在Go程序中解析命令行选项变得非常简单。本篇文章将深入讲解如何使用`flag`包,通过一个简单的实例帮助理解其基本用法。 首先,我们需要导入...
[LitCTF 2023]Flag点击!(cookie伪造)
Welcome To Myon'Blog !
05-22 2295
cookie伪造、session、flask、Python、json
[LitCTF 2023]Flag点击!--session伪造
qq_75120258的博客
04-18 920
由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,这就要求必须实现有状态,而session机制实现的就是这个功能。 用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;这段状态信息分配了一个唯一的标识符用来标识用户的身份,将其保存在响应对象的cookie中;当第二次请求时,解析cookie中的标识符,拿到标识符后去session找到对应的用户的信
LitCTF2023 郑州轻工业大学网络安全赛--web方向
qq_44640313的博客
05-18 706
LitCTF2023--web方向wp
OS_FLAG.rar_flag uc
09-23
标题“OS_FLAG.rar_flag uc”和描述“ucOs-ii完整源代码,极其方便用户调用”提及的是一个与操作系统相关的项目,特别是“ucOs-ii”的源代码。ucOs,全称为MicroC/OS-II,是一个实时操作系统(RTOS)内核,广泛应用...
解析bam文件中flag标签
02-10
解析bam文件中flag标签
OS_FLAG.rar_os_flag
09-23
《深入解析UC/OS-II操作系统在ARM7上的移植与OS_FLAG.C源码分析》 UC/OS-II,全称为uC/OS-II,是一款实时嵌入式操作系统(RTOS),由Micrium公司开发,广泛应用于各种嵌入式系统,尤其是那些对实时性要求较高的场合...
wuxinghongqi.rar_flag
09-23
标题中的“wuxinghongqi.rar_flag”可能是指一个与五星红旗相关的编程挑战或竞赛题目,其中“rar_flag”可能暗示着解压文件后会得到一个“flag”,在编程竞赛中通常代表解决任务后的标志或答案。描述提到这是一个用...
LitCTF-2023-web部分
m0_74097148的博客
05-18 1877
也有多种解法,当然如果上传有黑名单限制 但是远程下载没有 则可以用远程下载去下载PHP木马文件,然后剩余的步骤和上传木马的操作一样 不多做说明。并且题目提示我们只有username, password两列, 不需要group by去判断列数了。输入如下图的内容, 下载后点击编辑文件即可看到flag。如果想要了解更多关于http头部的信息可以参考。
LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分
Aluxian_的博客
05-14 6731
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF
[LitCTF 2023]刷题记录
rev1ve的博客
05-17 845
提示我们不是来自于pornhub.com,利用Referer。发现为文件上传,直接传php发现成功(啥过滤都没有)F12一下发现提示admin,admin,直接登录。题目提示vim编辑器,用kali打开文件。发现题目已经告诉我们sql语句的闭合方式。直接去/.index.php.swp下。我们ping一下,127.0.0.1。直接在game.js找到flag。我们得伪造admin,加密一下。打开题目,直接js找flag。发现有过滤,要绕过前端检测。再次输入命令,得到flag。找了半天,发现是改过的。
刷题记录 【LitCTF 2023】导弹迷踪
qq_74414939的博客
05-18 737
根据题目提示,需要通过6关才能拿到flag。于是点击进去,进入之后是下面这个页面。但是这个游戏也忒难了,玩了几次都没能过6关。在页面的源码里面看了好一会儿,也没看见什么flag。于是我们换个思路,去看看其他文件。点击查看器右边的调试器,发现在src目录下面有一些js文件,于是我们逐一查看。终于在game.js里面发现了flag。将其改为NSSCTF形式即可。于是按照惯例,我们先通过F2打开源代码看看。(以Firefox为例)不过一般来说,拿flag都是不用玩游戏的。
CTFshow_年CTF 2023
weixin_45908624的博客
01-28 797
_年CTF
LitCTF2023 Reverse 题解及复现
OrientalGlass的博客
05-14 2458
使用解包工具时要注意环境问题,这题是python3.8编写的,所以要用python3.8的环境,否则会缺少输出文件,建议使用anaconda管理python版本。关键代码是最后一段对flag的操作,不过这里可能是有意为之或者是反编译的问题,意思应该是flag[i]和flag[i+1]的数据异或后互换。经典的base64换表,第10和11行作用重复,12行也没有实际作用,此处的base表根本没有变化。关键就在于Probee代码中调用了check函数,该函数定义在ch中,分析程序逻辑不难写出解题脚本。
编程小白到大神之路
霜叶的博客
08-12 1093
编程是一项有挑战性但充满乐趣的技能。在选择编程语言和资源时,根据自己的兴趣和目标合理制定学习计划,持之以恒、不断实践,相信你能在编程的道路上走得更远,为自己的大学生活和未来职业发展打下坚实基础。
基于ssm和vue的 校园短期闲置资源置换平台源码 校园短期闲置资源置换平台代码(高分毕设项目源码)
最新发布
08-23
1. 校园短期闲置资源置换平台代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:前端是vue,后端是ssm,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
4S店客户管理小程序-毕业设计,基于微信小程序+SSM+MySql开发,源码+数据库+论文答辩+毕业论文+视频演示
08-23
4S店客户管理小程序-毕业设计,基于微信小程序+SSM+MySql开发,源码+数据库+论文答辩+毕业论文+视频演示 社会的发展和科学技术的进步,互联网技术越来越受欢迎。手机也逐渐受到广大人民群众的喜爱,也逐渐进入了每个用户的使用。手机具有便利性,速度快,效率高,成本低等优点。 因此,构建符合自己要求的操作系统是非常有意义的。 本文从管理员、用户的功能要求出发,4S店客户管理系统中的功能模块主要是实现管理员服务端;首页、个人中心、用户管理、门店管理、车展管理、汽车品牌管理、新闻头条管理、预约试驾管理、我的收藏管理、系统管理,用户客户端:首页、车展、新闻头条、我的。门店客户端:首页、车展、新闻头条、我的经过认真细致的研究,精心准备和规划,最后测试成功,系统可以正常使用。分析功能调整与4S店客户管理系统实现的实际需求相结合,讨论了微信开发者技术与后台结合java语言和MySQL数据库开发4S店客户管理系统的使用。 关键字:4S店客户管理系统小程序 微信开发者 Java技术 MySQL数据库 软件的功能: 1、开发实现4S店客户管理系统的整个系统程序; 2、管理员服务端;首页、个人中心、用户管理、门店管理、车展管理、汽车品牌管理、新闻头条管理、预约试驾管理、我的收藏管理、系统管理等。 3、用户客户端:首页、车展、新闻头条、我的 4、门店客户端:首页、车展、新闻头条、我的等相应操作; 5、基础数据管理:实现系统基本信息的添加、修改及删除等操作,并且根据需求进行交流信息的查看及回复相应操作。
思维导图2023flag
09-17
思维导图是一种用于整理思维、管理信息的图形化工具。2023flag则是指2023年的旗帜,结合这两者,我来讲一下思维导图在2023年可能的应用。 首先,随着信息时代的发展,思维导图将在2023年继续发挥重要的作用。人们在处理大量信息时,往往容易迷失在琐碎的细节中。而思维导图可以帮助人们将复杂的信息分解为简单的概念,并通过关联和连接来构建整体思维框架。这对于在2023年的工作和学习中都具有重要意义。 其次,在2023年,思维导图可能在教育领域得到更广泛的应用。传统的教学方式往往注重信息的灌输和吸收,缺乏对学生思维能力的培养。而思维导图作为一种主动学习工具,可以帮助学生理清知识的脉络,提升他们的思维能力和创造力。在2023年的课堂上,我们可能会看到更多的学生使用思维导图来整理知识、展示思维过程。 第三,随着人们对大脑认知机制的深入研究,思维导图的设计可能会更加符合人类的思维方式。2023年的思维导图可能会更加注重脑科学、心理学以及人机交互等领域的研究成果,使其更加符合人脑的运行规律,提高信息处理效率和记忆力。 最后,在2023年,随着技术的发展,思维导图工具可能会更加智能化和便捷化。人工智能的应用将使得思维导图工具更加智能化,能够自动识别和整理信息,为用户提供更加个性化和高效的导图服务。同时,移动设备的普及使得思维导图能够随时随地进行,给用户带来更多的便捷和灵活性。 总的来说,思维导图在2023年的前景仍然十分广阔。它将继续在工作、学习和创造领域发挥重要作用,并且随着科技的进步,思维导图工具将更加智能化和便捷化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值