攻防世界web2

最新推荐文章于 2024-07-13 15:32:18 发布
最新推荐文章于 2024-07-13 15:32:18 发布
阅读量382 收藏
点赞数
分类专栏: CTF 文章标签: CTF 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsqad/article/details/103475027
版权
题目

web2
解密

解题思路

打开题目,就是一段源码:

<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";

function encode($str){
    $_o=strrev($str);
    // echo $_o;
        
    for($_0=0;$_0<strlen($_o);$_0++){
       
        $_c=substr($_o,$_0,1);
        $__=ord($_c)+1;
        $_c=chr($__);
        $_=$_.$_c;   
    } 
    return str_rot13(strrev(base64_encode($_)));
}

highlight_file(__FILE__);

题目告诉我们解密$miwen之后就是flag,根据encode函数写出decode函数即可。

<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";

function decode($miwen) {
	$_ = base64_decode(strrev(str_rot13($miwen)));
	$idx = strlen($_) - 1;
	$_o = '';
	while ($idx >= 0) {
		$_c = $_[$idx];
		$__ = ord($_c);
		$_c = chr($__ - 1);
		$_o = $_o . $_c;
		$idx--;
	}
	return $_o;
}

echo decode($miwen);
// flag:{NSCTF_b73d5adfb819c64603d7237fa0d52977}
zsqad
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界Web2
qq_44065556的博客
09-26 274
进入之后就是一段php代码 注释也写的也很清楚了逆向解密就可以得到flag了 先审计一下代码 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); //这是反转字符串 // echo $_o; for($_0=0;$_0<strlen($_o);$_0++.
攻防世界看雪看雪看雪杂项
11-20
在IT安全领域,尤其是网络安全竞赛(如CTF,Capture The Flag)中,"攻防世界"是一个颇受欢迎的在线平台,旨在提供各种安全挑战来提升参赛者的技能。在这个平台上,"杂项"(Miscellaneous)类题目通常涵盖广泛的知识...
攻防世界web2 (逆向加密算法)
一醉一休的博客
02-23 740
一、web2(攻防世界) 1)很直接就是给出代码 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); //反转字符串 该函数将字符串逆过来 for($_0=0;$_0<strlen($_o);$_0++){ //循环字符串长度 ...
攻防世界web2做题思路(php代码审计)
最新发布
2301_80307383的博客
07-13 427
截取字符串,a为开始位置,b为长度。所以构造循环截取miwen,并把它变为ascii码表上一位字符,最后在翻转字符串,即可得到flag。大概意思是循环的将反转后的flag字符串截取,并让它变为ascii码表的下一位的字符。chr:与ord()函数相反,用于返回指定的字符。逆向加密算法,解密$miwen就是flag。ord:用于返回一个字符的ASCII值。要得到本题的flag,需要编写解题脚本。2.接着分析源码中for循环中的内容。
web2(攻防世界
m0_70819573的博客
02-20 159
2.通过逆向算法获得flag,主要是函数的作用需要说明。php代码审计类型的题目。
攻防世界-WEB2
陈艺秋的博客
07-11 624
然后,通过 ord() 函数获取 $_c 字符的 ASCII 值,并+ 1,然后利用chr()函数,将数据转换为字符后重新赋值给$c。循环结束后,将 $_ 变量进行base64编码,然后再利用strrev函数倒序,最后使用ROT13 编码,return返回最终值。接着使用一个for循环,接着,遍历 $_o 中的每个字符。设定临时参数$_0初值为0,退出条件为。将接收的变量利用strrev函数进行字符串反转,并赋值给$_o。将$_c 存储的字符追加到 $_ 变量中。表示下标的字符,存储在 $_c 变量中。
攻防世界web2
羽的博客
07-23 206
XCTF攻防世界web.doc
09-19
【XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界RE 流浪者 wp
03-15
攻防世界RE 流浪者 wp
攻防世界-web2
m0_62094846的博客
10-10 434
分析下来其实就是知道加密后的结果:a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws。要求未加密的数据(直接一步步解不好出结果,base64解密结果好像不好输出,直接写代码一步到位)ord():返回字符串中第一个字符的 ASCII 值。chr():从指定 ASCII 值返回字符。substr():返回字符串的一部分。strrev():反转字符串。直接按照它的代码反着解。
web | CTF攻防世界web2
weixin_46301214的博客
05-23 680
本题考点 - 熟悉PHP函数使用 - 检测你的编程基础是否扎实 步骤一:阅读源码,并分析 打开就有源码,且有提示是逆向算法题 分析后得出加密过程: 原文->字符反转->循环加ascii码后还原拼接->base64加密->字符反转->rot13加密 #不懂PHP函数的自己去查,找个在线PHP刷一下就懂了 步骤二:编写程序,并打印flag 编程程序,逆向解密 过程如下: rot13解密->字符反转->...
攻防世界-web2 (NSCTF-WEB)
路baby的博客
07-12 1947
今天在做题无疑发现有个比较有意思(被多个平台收录过) 非常适合编码,web,密码初学者 所以今天就把这道题给你们详细整理出来
[wp] 攻防世界-web2
MercyLin的博客
09-07 925
进来就是代码审计: <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o)...
攻防世界-Web-web2
uh_eng的博客
08-25 228
0x01 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0,1); $__=ord($_c
攻防世界-web-web2
wuh2333的博客
06-21 140
攻防世界web2
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞执行恶意代码或读取敏感文件。 文件包含漏洞分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种类型。LFI漏洞发生在应用程序尝试包含本地文件时,而RFI漏洞则允许攻击者通过远程服务器包含外部文件。 为了防止文件包含漏洞,开发人员应该遵循以下最佳实践: 1. 永远不要信任用户输入。对用户提供的文件名、路径或URL进行严格的输入验证和过滤。 2. 使用白名单机制限制可包含的文件范围。只允许应用程序包含预定义的合法文件,而不是用户可控制的任意文件。 3. 避免使用动态包含,尽量使用静态包含。如果必须使用动态包含,确保只包含可信任的文件。 4. 对于本地文件包含漏洞,限制访问文件系统的权限。确保应用程序只能访问必要的文件,并将敏感文件放在可访问性受限的目录下。 5. 对于远程文件包含漏洞,禁止从远程服务器包含文件,或者使用安全的方法验证和限制远程文件的来源。 6. 定期更新和修补应用程序的漏洞,以确保及时修复已知的文件包含漏洞和其他安全问题。 这些是一些常见的防范文件包含漏洞的方法,但在实际开发过程中,还需要根据具体情况采取其他安全措施来保护应用程序免受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值