0、ctfhub技能树_彩蛋

已于 2025-05-31 18:53:40 修改
阅读量974 收藏 8
点赞数 11
CC 4.0 BY-SA版权
分类专栏: CTFHUB 文章标签: 网络安全 web安全
于 2025-05-28 11:02:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YanLucyqi/article/details/148279773

目录

零、彩蛋

0.1、首页

(1)打开https://www.ctfhub.com/#/index,按F12和Network,查看打开首页时加载的url请求,发现请求url地址为https://api.ctfhub.com/

(2)打开https://api.ctfhub.com/,按F12和Inspector,查看源码,得到flag为ctfhub{c18732f48a96c40d40a06e74b1305706}

0.2、公众号

(1)输入ctfhub,点击搜素

(2)点击ctfhub公众号,点击关注公众号

(3)输入flag,得到flag为ctfhub{c461256ba542f478c9d8b3482c76c29a}

0.3、题目入口

(1)打开BurpSuite,点击Proxy出现以下情况,点击OK

(2)点击Settings,再点击Burp’s browser,再勾选Allow Burp’s browser to run without a sendbox

(3)点击Intercept is off,然后点击Open browser

(4)打开浏览器中输入网址http://egg.sandbox.ctfhub.com:10800/,点击Enter

(5)右击后点击Send to Repeater

(6)点击Send,得到flag为ctfhub{b644d27a30b450b2f170c4f19ef1dd85fb1efc5d}

0.4、Writeup

(1)点击WriteUp

(2)点击搜索

(3)输入egg,回车搜索,打开egg这个标题

(4)打开网址后,得到flag为ctfhub{0936de34af2a6dd91fbd88fead25fc877c8a4b1b}

0.5、工具

(1)点击工具

(2)输入egg,点击搜索

(3)鼠标移到说明处,得到flag为ctfhub{19d9098bcd2d4e77e2c60425b3d6abf63cd0744f}

0.6、赛事

(1)点击赛事中心

(2)赛事名称输入egg,点击查询

(3)在比赛官网处,得到flag为ctfhub{70e2bc7fde5462dd49b8242a7dde88d953a858f5}

0.7、真题

(1)点击历年真题

(2)输入egg,点击搜索

(3)在内容处,得到flag为ctfhub{e8c897ac0fd3b8b8771bcc84e79117e7}

0.8、投稿提交

(1)根据提示得到字符串flag[0:6] = “ctfhub”,点击题目提交

(2)点击WriteUp投稿


(3)在提交说明页面最后,得到字符串flag[12:18] = “2eb3a1”

(4)在投稿说明页面最后,得到字符串flag[6:12] = “{029e0”

(5)按F12,按Inspector,得到666c61675b32343a33305d03d02231313332623522

(6)按F12,按Inspector,得到ZmxhZyU1QjE4JTNBMjQlNUQlMjAlM0QlMjAlMjJlOGM0OWIlMjI=

(7)打开网址https://tool.hiofd.com/hex-convert-string-online/,输入666c61675b32343a33305d03d02231313332623522,点击16进制转字符串,得到字符串flag[24:30] = “1132b5”

(8)打开网址https://base64.us/,输入ZmxhZyU1QjE4JTNBMjQlNUQlMjAlM0QlMjAlMjJlOGM0OWIlMjI=按解码(Decode),得到flag%5B18%3A24%5D%0%3D%0%22e8c49b%22

(9)打开网址https://tool.ip138.com/urlencode/,输入flag%5B18%3A24%5D%0%3D%0%22e8c49b%22按解码(Decode),得到字符串flag[18:24] = “e8c49b”

(10)将投稿说明的图片另存为桌面,投稿说明.png

(11)将提交说明的图片另存为桌面,提交说明.png

(12)打开终端输入hexeditor 投稿说明.png,查看投稿说明.png文件源码,最后一行得到字符串flag[30:36] = “15b652”

(13)打开终端输入hexeditor 提交说明.png,查看提交说明.png文件源码,最后一行得到字符串flag[36:42] = “a5f3a8”

(14)点击投稿说明网址上的下载Demo

(15)输入unzip 示例.zip,解压该文件

(16)输入cd files,输入cat egg_flag.txt,得到字符串flag[42:48] = aes_256_ecb_decode(“c6e1d72b1102f9b96b0c1f00cc7a178d5b3f99193faaa60e53b45b9e644d782”, key)

(17)打开网址http://tool.chacuo.net/cryptaes,AES加密模式选ECB,填充选zeropadding,数据块选256位,密码输入ctfhub,偏移量输入6,输出选择hex,字符集选择gb2312编码(简体),内容输入c6e1d72b1102f9b96b0c1f00cc7a178d5b3f99193faaa60e53b45b9e644d782,点击AES解密,得到字符串6013}

(18)拼接起来得到flag为ctfhub{029e02eb3a1e8c49b1132b515b652a5f3a86013}

CTFHub~彩蛋|最详细的教程
weixin_67832625的博客
08-08 877
作者用最简单易懂的方法解释了彩蛋的教程,虽然彩蛋没有什么技术含量,但是做完还是满满的幸福感,铁铁们,加油冲~~~~
CTF相关了解
qq_44841017的博客
04-21 1748
基础知识 CTF简介 CTF(Capture The Flag,夺旗赛)CTF 的前身是传统黑客之间的网络技术比拼游戏,起源于 1996 年第四届 DEFCON,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。 CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中...
2、ctfhub技能树_web_信息泄露
最新发布
YanLucyqi的博客
05-28 1854
注:PHPInfo函数信息泄露漏洞常发生一些默认的安装包,比如phpstudy等,默认安装完成后,没有及时删除这些提供环境测试的文件,比较常见的为phpinfo.php、1.php和test.php,然后通过phpinfo获取的php环境以及变量等信息,但这些信息的泄露配合一些其它漏洞将有可能导致系统被渗透和提权。漏洞原理是因为没有过滤用户输入的…(5)输入ls-a查看生成的文件,然后再输入cd .hg进入文件,输入grep -r flag*得到flag存放的路径为flag_3257718.txt。
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 1万+
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
CTFHub 彩蛋
CN天狼
02-15 1770
ctfhub 彩蛋
Ctfhub 彩蛋
菜鸟的博客
05-29 827
01 首页 —————————————————— 02 公众号 此题关注公众号即可获取flag —————————————————————— 03 题目入口 随便开启一个题目,抓包 flag:ctfhub{b644d27a30b450b2f170c4f19ef1dd85fb1efc5d} —————————————————— 03 Writeup 在Writeup里搜索egg即可拿到flag —————————————————— 04 工具 在工具里搜索egg即可拿到flag 复制链接即可获取
ctfhub-彩蛋
2301_80281749的博客
03-16 369
题目提示可能在*.ctfhub.com,我们访问其他没有任何信息,试试接口api.ctfhub.com查看页面源代码。
CTFHub 技能树 之 SQL注入
滚滚是只小狐狸
03-05 1168
标题CTFHub 技能树 之SQL注入 进入CTFHub官网 一:SQL整数型注入 开题出现的界面是这样的,根据提示输入 1 后,出现两处回显,这里可以使用 工具注入也可以使用手工注入。 手工注入可以看一下这个博主写的查看手工注入 如果想了解工具的话就继续往下看吧☺ 我使用的是 kali 自带的 sqlmap 工具 1)因为一开始我们就已经知道存在注入点,于是这个步骤可有可无,但是还是可以看看数...
[CTFHub]web技能树
m0_68956519的博客
11-18 741
提示只有admin才能拿到flag,根据题目,因该是要更爱cookie获得权限拿flag,下面是关于cookie的信息。提示需要Authorization,也就是需要认证,用bp抓包,发现了Authorization后有加密字符。这里的admin是用户名,然后密码需要用bp中的爆破,这里就要用到下载的附件了,是一个密码本。将拦截的包发送到测试器(intruder),用sniper模式,勾选之前的base64编码。这里用f12查看cookie存储,将值改为1(0是cookie失效),获得flag。
CTFHUB 彩蛋/工具
ookami6497的博客
03-22 860
CTFHUB 彩蛋 点开题目,说是在工具块藏了一个彩蛋 做了其他彩蛋题目的应该记得,彩蛋文章啥的都会命名为egg,这里直接在工具里面搜索egg 果然是这个,点中间那个官网连接,然后跳到了404.。。。。 然后我又点了其他两个链接,,还是这样,毫无头绪。。之后又点了几次链接,,,多亏了我那有点卡的电脑,让我发现了点东西。 就是在点开链接的时候,他会先跳转地址,加载出这个logo,然后再跳转到404,之后我尝试在他跳转的过程中点开地址栏,快速复制,,,可惜手速不够,复制不到。然后我想到一招,,,断网。。。
CTFHUB技能树——SSRF(一)
2401_82985722的博客
05-21 1819
大多是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。(7)从URL关键字中寻找(share、wap、url、link、src、source、target、u、display、sourceURl、imageURL、domain)(1)可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);(5)使用file:///协议读取本地文件(或其他协议)
CTFHub-技能树-web-RCE
yuqie的博客
06-14 570
RCE(Remote Code/Command Execute)为远程代码/命令执行的漏洞。攻击者可以直接在web页面向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞。
CTFHUB技能树——web
qq_63980959的博客
04-20 9611
因为我一开始是没打算写博客的,所有前面的图基本都没截图,以至于后面想写博客的时候没图,又没有金币了,我想吃西瓜都吃不到,更别说充金币。分币不花,玩的就是陪伴。前面的一些图来自于大佬们的博客,我会在结尾@出来。
CTFhub技能树SSRF
weixin_51614272的博客
03-06 5766
目录第一部分内网访问伪协议读取文件端口扫描第二部分POST请求上传文件FastCGI协议Redis协议第三部分URL数字IP302跳转DNS重绑定 第一部分 内网访问 构造payload: /?url=http://127.0.0.1/flag.php 伪协议读取文件 这里使用file协议,构造payload: /?url=file:///var/www/html/flag.php 打开源码即得flag 端口扫描 据说端口范围是8000-9000哦。 直接用burpsuite无脑暴力爆破哇,立马得出
CTFHUB技能树(全详细解析含进阶)
热门推荐
hxhxhxhxx的博客
01-17 3万+
HTTP协议 请求树 根据提示直接修改头即可 302跳转 直接重放获得302跳转, Cookie 字面意思, 基础认证 简介: 在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证 附件提供了密码,很明显就是爆破 有了用户名,而且发现一个base加密的东西 解密看看 固定格式啊,
CTFHUB-彩蛋教程
weixin_68416970的博客
07-07 1244
CTFHUB技能树彩蛋的通关教程
ctfhub 投稿彩蛋
不好好做安全的运维足球狗
04-14 889
flag[0:6] = ctfhub flag[6:12] = "{029e0" flag[12:18] = "2eb3a1" ZmxhZyU1QjE4JTNBMjQlNUQlMjAlM0QlMjAlMjJlOGM0OWIlMjI= flag[18:24] = "e8c49b" 666c61675b32343a33305d203d202231313332623522 flag[24:30] = "...
CTFHub 技能树web
weixin_63231007的博客
07-19 2683
这道题是想让我们对http的请求方式有一个了解。由这些可知需要用CTFHUB的请求方式请求index.php才能拿到flag这就需要用到我们windows自带的curl命令了。curl用法参数-v显示整个通信的过程-X指定HTTP请求方法这里就需要用到我们的-X参数了。得到flag。也可以用burp抓包更改左上角的请求方式。......
CTFHUB--技能树--SSRF全解(下篇)
errorr0
05-14 1442
技能树SSRF
程序员彩蛋:探索隐藏的文件夹加密技术
程序员是从事软件开发的专业人员,他们需要掌握编程语言、算法、数据结构等核心技能,同时也需要具备创新思维和解决问题的能力。 最后,“压缩包子文件的文件名称列表”中只有一个文件名“寻找彩蛋”。这表明我们所...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值