[极客大挑战 2019]Havefun 1

最新推荐文章于 2025-07-30 18:01:58 发布
原创 最新推荐文章于 2025-07-30 18:01:58 发布 · 67 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

作者分享了解决IT安全挑战的经验,指出在靶机题目中,旗标通常隐藏在页面源码的注释中,通过检查if判断语句找到可能的flag并成功获取。

本人也是刚接触这些题目,只是自己拿来做做笔记,写的不好还请指导

本题一进入靶机就是一直猫的页面
在这里插入图片描述
查看页面源码,这类题目的flag一般都在源码的注释中
在这里插入图片描述
发现源码中的注释中有一个if判断cat是否等于dog,猜测这个就可能是flag,添加在url之后尝试
在这里插入图片描述
成功获得flag

TID12
关注
buuctf[极客挑战 2019]Havefun 1
艾小方的博客
06-28 523
这里条件判断如果$cat这个变量的值与dog相等,就会打印一串东西出来Syc{cat_cat_cat_cat}我们猜测这个东西对我们有用,所以把他打印出来。首先用get方式获得cat的参数,将值赋给。启动靶机可以看见这样一个界面。所以url中直接输入。
[极客挑战 2019] Havefun
Sweet_vinegar520的博客
10-25 588
确实是 have fun,很简单的一种题,涉及知识点有:GET 传参、查看源代码、基础代码审计。
[极客挑战 2019]Havefun1
明裕学长的博客
06-22 1445
1、打开题目 右键打开查看网页源码 我们仔细看这段代码我们可以尝试在网址后面加上?cat=dog 此时我们获得flag
【BUUCTF系列】[极客挑战 2019]Havefun 1
2402_84408069的博客
07-30 866
本文通过实例演示了如何通过源代码审查发现并利用简单的Web漏洞。作者首先检查页面交互功能,随后通过查看网页源代码发现关键JavaScript文件和PHP代码注释,揭示了后端处理GET参数"cat"的逻辑。当参数值为"dog"时会返回flag。文章强调技术研究需遵守法律和道德规范,仅限授权测试,并提供完整的安全研究免责声明,提醒读者必须在合法授权范围内进行安全测试,避免非法入侵和数据泄露。
buuctf [极客挑战 2019]Havefun1
weixin_74790320的博客
11-27 1109
本题先看看源码或者检查一下,可能这是俺的一个小习惯。源码里面都看到了php的代码。
BUUCTF——[极客挑战 2019]Havefun 1
小白一枚多多关注的博客
03-17 8796
这道题是19年的极客挑战的题,这道题整体来说,额,很简单,而且这个猫猫感觉好乖哦~!好了,进入环境 进入环境后可以看见这个界面,啧,说实话感觉没啥用,因为什么有用的价值都没有,所以老规矩,看一下它的源代码 上面还有一堆的cs代码,所以我只截取了重要的部分,可以看见这里有几段被注释了的代码,那么现在我们就来进行简单的代码审计 好了,这道题就完成了,鹅鹅鹅,简单吧 ...
[极客挑战 2019]Havefun1 解题复现
2302_79436907的博客
08-24 276
打开网址之后我们就按F12来检查源码,发现有一处注释写着如果cat=dog就输出啥啥的我们试一下,直接得到flag。
[极客挑战 2019]Havefun
weixin_46962006的博客
12-09 621
                       [极客挑战 2019]Havefun 1 前言        个人观点,若有误请指教 解题思路及步骤 一打开靶场,只有一只猫在那里睡懒觉,直接查看源码,获得提示。 分析php代码 <?php //因为这个只是注释的提示,所以需自己尝试一下执行的效果(下面给出的是执行之后的结果,而不是提示代码应有的效果)! //如果有cat参数且不等于dog,则什么都不会输出 //如果有cat参数且等于dog,则输出Syc{cat_cat_cat
BUUCTF [极客挑战 2019]Havefun
qq_68581192的博客
07-05 191
我们可以在url栏进行编辑,先尝试在url后面添加/?cat,会发现没有变化。右键点击检查(或者按快捷键f12),会发现有一段PHP代码,显示如下图。cat=dog,flag会显示如下图。打开靶场会发现有一只小猫,但是点不动,显示如下图。
BUUCTF[极客挑战 2019]Havefun 1题解
2301_79896143的博客
06-02 608
这篇BUUCTF题解分析了一个名为"Havefun"的PHP代码审计题目。作者发现网页源码中隐藏了一段被注释的PHP代码,该代码会检查GET请求中的cat参数,当参数值为"dog"时输出flag。解题过程简单明了:通过在URL中添加?cat=dog参数成功获取到flag。文章指出这并非真实后端代码,而是解题提示,并强调这是一道基础的PHP代码审计题目。整个解题思路清晰,适合初学者理解基本的Web安全测试方法。
[极客挑战 2019]Havefun&[ACTF2020 新生赛]Include
weixin_55026246的博客
08-06 2784
[极客挑战 2019]Havefun&[ACTF2020 新生赛]Include
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8828
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
优化调度基于改进遗传算法的公交车调度排班优化的研究与实现(Matlab代码实现)
12-01
【优化调度】基于改进遗传算法的公交车调度排班优化的研究与实现(Matlab代码实现)内容概要:本文围绕“基于改进遗传算法的公交车调度排班优化”展开研究,利用Matlab实现算法仿真与优化过程。文章重点介绍如何通过改进遗传算法(如引入精英策略、变异优化等)提升传统算法在公交调度这一复杂多目标优化问题中的性能,解决发车频率、线路分配、司机排班及运营成本之间的平衡问题。研究涵盖了实际调度中的多重约束条件,包括时段客流波动、车辆数量限制、工作时长合规性等,并通过仿真实验验证改进算法在收敛速度、解的质量和稳定性方面的优越性。; 适合人群:具备一定Matlab编程基础和优化算法知识的研究生、科研人员及从事公共交通系统规划与智能调度的工程技术人员。; 使用场景及目标:①应用于城市公交系统排班优化,提升运营效率并降低人力与能源成本;②作为智能交通系统(ITS)中调度模块的技术参考;③为遗传算法在实际工程问题中的改进与应用提供案例支撑。; 阅读建议:建议读者结合文中Matlab代码进行实践操作,重点关注算法改进策略的设计逻辑与调度模型的构建方式,同时可尝试将算法扩展至其他交通调度场景以深化理解。
中国臭氧站点数据集(2024).zip
12-01
1. station_2024.csv —— 全国地面站点位置信息 2. O3_data_2024.csv —— 全国 O₃ 小时浓度数据
(64页PPT)某著名企业集团年会活动策划方案.ppt
最新发布
12-01
(64页PPT)某著名企业集团年会活动策划方案.ppt
【嵌入式系统】基于GCC优化与组件裁剪的固件瘦身方法:面向STM32/ESP32/nRF52平台的低资源部署方案设计
12-01
内容概要:本文系统介绍了嵌入式固件裁剪与优化的实战方法,重点围绕编译器级优化(如GCC的-Os、-flto、--gc-sections等选项)、主流芯片平台(STM32、ESP32、nRF52)的具体瘦身流程以及工具链实践展开。通过对比不同优化配置下的固件小、执行效率和编译时间,验证了-Os结合LTO与段裁剪可显著减小体积,同时提供了HAL库裁剪、启动文件优化、分区表调整、调试信息移除等关键操作步骤,最终实现固件体积幅缩减。; 适合人群:具备嵌入式开发经验的工程师,尤其是从事MCU固件开发、资源受限设备优化及相关技术研究的1-3年工作经验人员;熟悉C/C++语言及基本编译链接原理者更佳; 使用场景及目标:①在存储空间紧张的嵌入式设备中最化压缩固件体积;②提升代码执行效率并合理平衡调试能力;③掌握跨平台(STM32/ESP32/nRF52)固件优化通用方法论; 阅读建议:建议结合具体项目实践文中优化策略,逐步应用编译器选项、组件裁剪与链接脚本修改,并借助size、objdump、strip等工具分析优化效果,注意避免过度优化带来的稳定性风险。
STM32实现PT100测温系统V4.0(4针OLED显示)
12-01
提供了基于STM32微控制器的PT100测温系统完整解决方案。PT100是一种常见的铂电阻温度检测器,广泛应用于工业温度测量领域。此项目实现了利用STM32精确采集PT100电阻值变化,进而转换并显示当前温度的功能。特别地,本系统通过4针OLED显示屏直观展示温度数据,提高了现场观察的便捷性和系统的可读性。 版本说明 版本: V4.0 更新日期: [请插入具体日期] 核心处理器: STM32系列(具体型号请参考源代码) 显示模块: 4针OLED显示屏 功能特点: 高精度PT100温度采集 实时温度数据显示 OLED屏幕友好界面设计 稳定的软件架构,易于扩展和修改 目录结构 仓库致包含以下目录结构: . ├── Src # 源代码文件夹 │ ├── main.c # 主程序文件 │ └── ... # 其他相关源文件 ├── Inc # 头文件文件夹 │ ├── main.h # 主头文件 │ └── ... # 其余头文件 ├── Documentation # 文档资料 │ └── 用户手册.pdf # 项目使用指南 ├── Libraries # 第三方库或自定义库 │ └── OLED # OLED驱动库 └── STM32_project # IAR/Keil等开发环境工程文件 ├── STM32xxxxx.uvprojx # 开发工具工程文件 └── ... # 工程相关配置文件 快速上手 硬件准备:确保你
ComfyUI/Qwen Wan2.2 FMLF 三帧一致性人物视频生成
12-01
文件编号:c0176 ComfyUI使用教程、开发指导、资源下载: https://datayang.blog.youkuaiyun.com/article/details/145220524 AIGC工具平台Tauri+Django开源ComfyUI项目介绍和使用 https://datayang.blog.youkuaiyun.com/article/details/146316250 更多工具介绍 项目源码搭建介绍: 《我的AI工具箱Tauri+Django开源git项目介绍和使用》https://datayang.blog.youkuaiyun.com/article/details/146156817 图形桌面工具使用教程: 《我的AI工具箱Tauri+Django环境开发,支持局域网使用》https://datayang.blog.youkuaiyun.com/article/details/141897697
极客挑战 2019]Havefun 1
08-28
### 解析极客挑战 2019 中的 Havefun 1 题目 极客挑战 2019Havefun 1 是一道 Web 安全相关的题目,主要考察了对网页源代码的分析能力和对 GET 参数传递的理解。题目的核心在于找到隐藏的逻辑漏洞,通过传递特定参数来获取 Flag。 #### 题目背景 在启动靶机后,访问题目链接,页面显示一只猫,但没有其他明显的提示或按钮。这种情况下,常规的交互方式无法获得有效信息,需要通过查看网页源代码或后台扫描来寻找线索。题目中通过注释隐藏了一段 PHP 代码,这段代码是解题的关键[^3]。 #### 源代码分析 在网页源代码的注释中,可以找到以下代码片段: ```php $cat = $_GET['cat']; // 从 URL 获取 cat 参数 echo $cat; // 回显参数值 if ($cat == 'dog') { // 判断参数值是否为 'dog' echo 'Syc{cat_cat_cat_cat}'; // 输出 Flag } ``` 这段代码的逻辑非常简单,它从 URL 中获取 `cat` 参数并将其值回显到页面上。如果 `cat` 的值等于字符串 `'dog'`,则会输出 Flag `Syc{cat_cat_cat_cat}`。因此,解题的关键在于如何构造请求,使 `cat` 参数的值为 `'dog'`。 #### 解题思路 根据题目逻辑,只需要在 URL 中传递 `cat=dog` 即可满足条件,进入 `if` 分支并输出 Flag。构造的 URL 如下: ``` http://55670c23-4253-47c2-9dae-74b87b15cc0c.node4.buuoj.cn:81/?cat=dog ``` 访问该链接后,页面会回显 `dog`,并且由于条件判断成立,还会输出 Flag `Syc{cat_cat_cat_cat}`[^1]。 #### 拓展知识 类似的问题在 CTF 比赛中较为常见,通常涉及对参数传递的深入理解。例如,万能密码的概念在 SQL 注入等题目中也经常出现,常用的万能密码包括: ``` "or "a"="a ')or('a'='a or 1=1-- 'or 1=1-- a'or' 1=1-- "or 1=1-- 'or'a'='a "or"="a'='a 'or''=' 1'or'='or' 1 or '1'='1'=1 1 or '1'='1' or 1=1 'OR 1=1%00 ``` 这些万能密码的原理是通过构造特定的输入,绕过逻辑判断或 SQL 查询条件,从而达到获取敏感信息或绕过认证的目的。虽然 Havefun 1 并不涉及 SQL 注入,但这些技巧在类似的 CTF 题目中非常有用[^2]。 #### 总结 极客挑战 2019Havefun 1 是一道简单的 Web 题目,核心在于通过查看网页源代码发现隐藏的逻辑,并构造正确的 GET 请求参数来获取 Flag。这类题目强调了对代码逻辑的理解以及对隐藏信息的挖掘能力。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值