yifijhjh的博客

测试结果发现使用 LOGIN 参数可以成功的从 A 用户的个人信息越权获取到 B 用户的个人信息～然后 Burp Intruder 模块开启，导入字典(这里将参数设在 POST 请求正文)一开始的想法是变为 GET 请求（可行），然后增加 JSONP 劫持的回调参数…返回变参数（注意值都为 B 用户 也就是你需要准备两个用户）这条请求返回的信息是个人信息（用户 ID、手机号、密码）参数设在 POST 请求正文)A 规则+B 收集=C 整合。注意网站参数的命名方式。

【代码】CTF-Crypto 密码解密python脚本（一）

1.1 网络抓包工具：Wireshark1.2 攻击web 应用程序的集成平台：BurpUnlimited。

解下羊皮纸后,上面只有杂乱无章的字符,只有再次以同样的方式缠绕到同样粗细的棍子上,才能看出所写的内容。但是它很容易就被破解了,因为此方法还是会将容易引发“联想”的字或“提示”留在编码文中,所以在原文编成编码文时,就必需将一些敏感字眼除去或替换。在展开时，皮带似乎只是一串随机字符，但如果缠绕在一定大小的木棒上，字母会对齐成单词。据说主要是古希腊城邦中的斯巴达人(Sparta)在使用它,所以它又被叫做“斯巴达棒”。,因为它通过改变文本中字母的阅读顺序来达到加密的目的。斯巴达棒的加密原理属于密码学中的。

他说我们找到了flag，但是flag里面东西不对，而且上面的信息很像我们之前解方程的运行代码，仔细观察上面代码，发现{%s _ %d%d%d _ %lld}这个与我们输入的信息是一一对应的。由于数字太大，可用科学计算器，最好的办法是用Python脚本算出来。找到了这三个地方 三个地方的答案就是 %s_%d%d%d_lld。下载附件得到一个boom.exe程序 ，打开后的界面是这样的。flag格式 flag{ %s_%d%d%d_lld}输入后，运行框消失，大概是运行结束了。输入后，按任意键继续。

提示：url的Rome、图片人物为凯撒、图片下方有加密密码（Rome->西方人物（凯撒->凯撒密码）

从所给的题目信息提示中看出，一共给出四种古典密码，分别是：猪圈密码、圣堂武士密码、标准银河字母、栅栏密码{英文提示}，且flag的明文为大写。与上一题解题思路一样，得出ascii后，尝试用栅栏密码求得，再用得出的栅栏密码逐个用凯撒密码找出flag。此外在BUUCTF的Crypto的【传统知识+古典密码】这道题，也是用了这个知识点【天干地支+甲子】后，尝试用栅栏密码求得，再用得出的栅栏密码逐个用凯撒密码找出flag。我想你应该知道我的意思。用对应每一个天干地支的数字，并加上+甲子（60为一个甲子）

png的文件头格式应为 AE 42 60 82 ，该题文件头并不是png的文件头，在后却发现50 4B 03 04是zip的。查看十六进制，习惯性的查看文件的头部和尾部，找不到有用的信息就通过搜索查看所需的文本和十六进制等的信息。我们发现这个不像是flag，去尝试也是错误的，应该是被加密了，看加密格式我首先想到base64。用二进制打开的.png文件的第二行中，前四位表示的是宽度，后四位表示的是长度。下载好后是一个二维码，用CQP读取是没有flag的，转为十六进制查看。发现是一个base64的加密。

常见的CTF-Crpto密码原理及解密工具网址

Centos 7安装Mysql详细步骤

关于Windows Server、Linux的系统安全加固

CTF工具下载，这里是一小部分，后期会陆续分享