【教程】AWD中如何通过Python批量快速管理服务器? 很多同学都知道,我们常见的CTF赛事除了解题赛之外,还有一种赛制叫AWD赛制。在这种赛制下,我们战队会拿到一个或多个服务器。服务器的连接方式通常是SSH链接,并且可能一个战队可能会同时有多个服务器。本期文章,我们来详细讲述一下如何使用Python绝地反击、逆风翻盘。
【Pikachu靶场】皮卡丘靶场使用说明 Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。如下图所示,箭头所指的地方提示我们pikachu没有初始化,我们点击此处红字进行初始化安装。在青少年CTF平台,我们很早就增加了这一平台的靶场,我们可以直接通过启动容器打开。首先,我们需要启动环境,点击启动Game-Box即可启动。这里是FRP的提示页面,我们稍作等待,即可进入平台。启动之后,我们点击题目链接进入题目。
【教程】青少年CTF机器人使用教程 文件操作是真正发挥这个机器人的用途的地方,我们目前融合了GItHub上的部分工具,也有通过自己的方法去写的工具,CTF中涉及文件的题目其实还是非常多的。新版本中,沿用了老版本的编解码功能,只对编解码的代码逻辑进行整理,当然后续版本也会持续增加新的编解码功能。新版本中,沿用了老版本的加解密功能,只对加解密的代码逻辑进行整理,当然后续版本也会持续增加新的加解密功能。当然,这些青币扣除都是非常少的。由于之前版本的机器人重构,所以我们细化了本次的机器人逻辑,并且对机器人的功能进行了一些升级。
【CTF必备插件】-Crypto-Utools上的社会主义核心价值观编码 这是一个使用Utools API和JavaScript开发的一个“社会主义核心价值观编码”的编解码工具,目前已上架Utools商店。如果需要解码,也只需要在搜索框中输入已经编码过的内容,如“友善爱国敬业敬业友善法治敬业文明诚信自由平等友善平等富强敬业民主诚信自由平等友善平等敬业友善平等自由”即可解码。你只需要在utools的插件商店中搜索这个插件“社会主义核心价值观编解码”即可,接着呼出Utools的搜索菜单,可以通过多种关键词呼出菜单。呼出编码菜单后,在上方输入框输入需要编码的内容,即可进行编码。
CTF中的神兵利刃-foremost工具之文件分离 Foremost可以依据文件内的文件头和文件尾对一个文件进行分离,或者识别当前的文件是什么文件。需要使用这个工具,首先我们需要安装他,在Linux系统中,我们可以直接apt install foremost中进行安装。这里 -o 后面的参数就是输出的路径,-i则是指定一个文件,当然这个-i你也可以去掉(做题速度很关键)其实我们上面提到的主要使用方法已经能满足我们日常使用了,所以这些复杂的我们就只在这里说明。当然,foremost的使用肯定不止这么一点点,不然也不会成为“神器”被我们放到这里。
【工具】-Misc-PNG图片高度宽度CRC爆破脚本 接下来第二行前8个hex数据都是表示宽高的:00 00 07 80 00 00 09 5F,这里表示宽度为07 80,高度为09 5F,这两组数据转换为10进制就是1920x2399。这里的CRC指的是CRC32,也就是PNG图片的一个效验位,是一种不可逆运算,类似于MD5,作为数据效验或效验文件的完整性使用。有的CTF题目会修改PNG图片的宽高,这在没有CRC检测的国内软件或Windows的图片看来是正常的。接下来的4组(16个)Hex组成的则是CRC校验码,我这里是13 97 08 36。
【青少年CTF】WP-Misc-你会运算吗 查看txt文本,提示给出密码,但是需要爆破,猜测为大小写组合爆破。3.jpg还是运用刚才的16进制取反脚本即可获得后半段flag。考点:16进制位移,0宽隐写,steghide密码爆破。尝试打开图片,未果,使用010editor查看。下载附件得到一张图片和一个需要密码的压缩包。使用在线网站提取,获得前半部分flag。推测图片2使用steghide隐写。解压后获得两张图和一个txt文本。打开生成的图片,获得压缩包密码。查看flag1.txt。
【青少年CTF】Crypto-easy 题解小集合 根据提示我们知道是键盘密码,于是联想到手机26键盘和九宫格举个例子,比如附件给出的 ooo yyy ii先看26键,字母o在键盘上所对应的数字是9,在看到九宫格9所对应的有wxyz四个字母,然而字母o出现了三次依次数下去,第一个字母是y原理相同字母y在26键上对应6,九宫格有mno,出现三次第二个字母就是oi对应8,8下面有tuv,出现两次第三个字母就是u,以此类推…然后这就很明显了,接着用核心价值观解密又根据提示得知是栅栏密码解密,栅栏数为6得到最终flag(有些网站解不出来最好多解几次)
青少年CTF-ezsql-题目解析 username处加反斜杠转义单引号,造成逃逸,后面可控,成为注入点,payload:or password regexp binary {}#通过探测发现过滤了select、union、'、"、、=、like、and等。利用regexp进行匹配猜测数据,还需要用binary关键字来区分大小写。进入提示,发现要我们登陆,点击确定后跳转到了login.php目录。题目的考点应该是本题考点为MySQL regexp盲注了。题目来源:克拉玛依市第一届网络安全技能大赛。
青少年CTF-Web-帝国CMS1-3通关记录 本次进通过平台内题目进行,非真实环境。首先下发题目链接我们首先先找后台看看后台地址为随后,经过dirsearch进行扫描,得到了一个www.zip访问扫描到的www.zip,得到网站源码使用D盾扫描,得到eval后门。蚁剑链接得到根目录的Flag这道题目和CMS01差不多,但是好像又有天差地别管理员发现你入侵了他的服务器,管理员修改了密码并删除了后门那么我们优先尝试管理员是不是给了一个弱口令经过弱口令爆破登陆成功密码为123456789这道题目考察了一个帝国CMS的漏洞利用,我们先看看帝国CMS03有什
Python启用HTTP服务进行文件传输 有时候局域网共享个东西不方便,尤其在服务器上的时候,总不能先下载下来,再上传上去吧,于是经常在这台机器用python起个http服务,然后去另一台机器直接访问,一来二去,妥试不爽,特进行一下分离。python自带一个http服务器,虽然不像Apache那样可以应用于生产环境,但在一些测试或者局域网文件共享方面,还是可以顺手就拿过来用的,很方便。如果是本机访问的话,可以直接在浏览器输入: http://127.0.0.1。然后就可以通过浏览器访问了。注意这个http服务器的默认端口号是8000。
青少年CTF - Web - Flag在哪里 Wp WriteUp 在标签中的title标签下方,就有被注释的flag。flag是动态的哦,同学们要自己好好做题!启动环境,需要等待大概20秒左右的时间。访问,页面显示Flag反正不在这。平台名称:青少年CTF训练平台。右键网页,发现无法使用右键。题目名称:Flag在哪里?
关注
