- 博客(9)
- 收藏
- 关注
RSS订阅原创 【极客大挑战】Day6
包含"../"、"tp"、"input"或"data"(不区分大小写),则脚本会输出"Oh no!仍然没啥用,再次查看源代码,发现action.php,进去看看直接到了end页面,猜测反应太快,试试抓包。文件绕过的格式也有很php,php3,php4,php5,phtml.pht。禁用了一部分伪协议的关键词,那么就用php://filter伪协议。这时选择抓包,修改上传格式)(每次抓包时需修改上传格式)考察知识点:bp抓包,文件包含,伪协议。在这里选择phtml,这个是可以的。上传成功,用蚁剑连接。
2024-02-15 19:19:43
612
1
原创 [ACTF]Day5
弱比较会把类型不同的两个转换为同一类进行比较,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行,在比较时该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0,例如这里str转换后为123,所以key直接等于123就行了,而如果更长比如12316354abksheda,则只取数字部分,以后可能遇到。强比较:===这种比较则是必须比较的类型和数值都相同了,这种类型比较是先比较类型再比较数值。上传成功,接着蚁剑连接。
2024-02-08 15:25:02
582
原创 【HGAME 2024 week1】
一个即将发售的游戏的主角薇^3带来了一条消息。这段消息隐藏在加密的图片里 但即使解开了图片的六位弱加密,看到的也是一张迷惑的图片。也许游戏的官网上有这种文字的记录?希尔解密:http://www.metools.info/code/hillcipher243.html。使用winzip,winrar等也时常会报错,推荐使用bandzip进行压缩。很明显,题目说简单的攻击,压缩包里有一张图片和以及另一个压缩包。根据CRC值的比较,可以尝试使用明文攻击。去游戏官网上找寻相对应的字符所对应的字母。
2024-02-05 21:08:00
763
3
原创 【SWPU CTF]Day4
打开图片是可以发现图片体积过大,怀疑有压缩包binwalkzip里面有错误flag,以及mp4mp4放入必剪逐帧查看得到关键信息,base64解密得MP4再次分离zip得压缩包将密码输入得第一个信息是base,以及结合文件名来看,依次是base64,base32,base16随波逐流解出为仿射密码解密结合文件名可以知道a,b为19,20心得:将MP4再次分离属实没想到的,而且要充分结合题目已知信息(文件名)
2024-01-30 21:02:40
1307
2
原创 【XCTF】Day3
很明显这是培根解密解密得然后根据提示大写填入flag{},发现不对,需要进一步解密,于是根据题目名称,猜测需要凯撒密码解密,继续用CTF编码工具,凯撒解密解密结果中发现有一串英文字母能拼成一句话,havefunwithcrypto,推测这才是真正的flag。
2024-01-22 13:10:18
724
原创 【CatCTF】Day2
题目描述:可爱的猫猫走丢了,还好猫猫有GPS定位装置,我们陆陆续续在终端收到了GPS数据,你能帮忙找到可爱的猫猫吗?先看题目ATTR?X?H com.apple.macl 玞 麲 8 毱閲鏙膽鸋+?文件下载后,猜测为GPS数据流解题网站选择图片☞绘制地图flag为CatCTF{GPS_M1ao}
2024-01-22 09:52:18
1178
原创 [XCTF]Day1
FQARD{L0u_W0s_yp3_4_k4qrcp_0d_apwnr0},答案还是不对,凯撒密码求解。flag为HSCTF{N0w_Y0u_ar3_4_m4ster_0f_crypt0}),该文件包含一组图片的路径,然后逐个图片提取数据并保存为CSV格式。函数用于将一组图片按顺序合并在一起,拼接的方式是水平拼接。文件,并按文件的最后修改时间排序后返回一个文件名列表。等)将多张图片按顺序拼接在一起,并保存为新的图片。,也是他给所有新生的祝福,希望大家享受解码的过程。经典的图片拼接问题,使用脚本解题。
2024-01-21 19:13:46
1235
原创 linux报错 E: Type ‘‘deb‘ is not known on line 1 in source list /etc/apt/sources.list.d/docker.【最新解决办法】
the 'deb'报错,在网上查了许多文献都没啥作用,而且许多都过时了,终于让我在茫茫人海之中找到一位大佬的评论,泪水在我眼眶里打架,搞了几个小时终于有结果了。解析:在那种情况下,实际上你粘贴了两次相同的行,额外的好处是你以错误的方式做了。顺便说一句,该文件中的两行相同(但正确)应该不是什么大问题。出现这种报错之后,你会发现sudo 之类的命令大多都用不起来了,甚至安装工具的之类命令都用不起来了,太难受了。注意:你的文件后缀名可能和我的不一样,修改一下即可。然后这就是我多复制的一个,删除就行。
2024-01-20 09:54:30
2785
2
原创 Misc [Fake zip][伪加密]知识及破解
1:360压缩包直接破解(这个解压软件可以直接无视伪加密,果然是斗宗强者,恐怖如斯),但是许多同学碍于360安全大礼包,不敢下载。本篇只提供大致解题思路,具体的可以参考其他大神的,祝大家ctf越来越强。命令是java -jar zipcenop.jar 文件名。(前提是先配置java环境),工具网上可以直接下载。,本题没有任何提示信息,猜测是伪加密。打开压缩包,放人010里查看,出现。下面总结3种方法,看看哪种适合你哦。很明显是伪加密,那么要怎么下手呢。为了检验是不是伪加密,可以放入。
2023-12-09 14:38:28
719
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人