实验吧ctf web题猫捉老鼠

最新推荐文章于 2021-03-13 10:37:17 发布
原创 最新推荐文章于 2021-03-13 10:37:17 发布 · 2.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web

本文介绍了一个CTF挑战的解决方法,通过使用Burpsuite工具进行抓包并解析响应来找到pass_key,最终解开谜题。

解题链接: http://ctf5.shiyanbar.com/basic/catch/
首先点进去这里写图片描述然后抓包 题目都提醒了catch catch 所以应该抓包首先随便提交0000进去 看到的结果是这个这里写图片描述

然后用Burpsuite抓包这里写图片描述然后发送到repeater这里写图片描述首先看response回应 肯定是那个 好然后把它的值粘贴复制到pass_key得到这个结果这里写图片描述此题的解题方法就是这样

ZweLL032
关注
观察者设计模式——老鼠
qq_37365407的博客
10-12 2473
观察者设计模式通过老鼠这个例子来弄清楚委托和事件并且对他们的用途有更深的认识。 在这里,是被观察者,老鼠是观察者。当观察者发生动作时,观察者对应的就会有相应的动作,比如开始移动了,老鼠就相应地都逃跑了。又比如在游戏中,被观察者是一个开始按钮,当它被点击的时候,观察者(美术资源、音乐资源、场景资源等)就会开始加载。老鼠首先我们定义一个Cat类class Cat {
第一次CTF【后台登录、简单的sql注入之、简单的sql注入之2、老鼠、i春秋 文件上传】
weixin_44722125的博客
05-14 2848
后台登录 http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 根据md5($password,true)最后要得到原始二进制字符串,要含有or ,在or的两边要有单引号,使它变成password=‘xxx’ or 'xxx’的形式,那么可以根据32位16进制的字符串来查找‘or’对应的16进制是276f7227,所以我们的目标就是要找一个字符串取3...
实验吧-老鼠
wuerror的博客
08-22 405
目暗示抓包,使用burpsuite。 直接提交 Content-Row即可得到key,这里遇到的坑是我下意识把它先base64解码之后再提交了。。。
实验吧——WEB-老鼠
迷风小白
03-30 2830
老鼠 拿到目,随便输了个123,显示"Check Failed!"。然后查看了一下源码,发现没什么线索。 开始抓个包看看: 在响应头信息中我们可以看到一行Content-Row的信息(至于这个字段是具体什么东西,也没有查到),一看就知道是经过base64加密的,然后去解码看看,得到一串数字1553931746,想着拿着个数字去试试,还是失败。 后来发现不需要解码,直接输入密文就好了,也就...
CTF---Web入门第七 老鼠
weixin_34214500的博客
11-08 370
老鼠分值:10 来源: 实验吧 难度:难 参与人数:8697人 Get Flag:3740人 答人数:3944人 解通过率:95% catch!catch!catch!嘿嘿,不多说了,再说剧透了 解链接: http://ctf5.shiyanbar.com/basic/catch/ 原链接:http://www.shiyanbar.com/c...
04.实验CTF实战之WEB渗透和隐写术解密1
08-03
【网络安全自学篇】WEB渗透与隐写术解密——实验CTF实战解析 在网络安全领域,WEB渗透是指通过寻找并利用网站应用的漏洞来获取未经授权的访问或控制权限。而隐写术则是指在图像、音频或其他媒体中隐藏信息的技术...
ctf 选择 库_实验CTF库-WEB(部分)
weixin_39613548的博客
12-19 1359
看起来有点难提交adminhttp://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login用sqlmap检测是否有注入┌─[root@sch01ar]─[/sch01ar]└──╼ #sqlmap -u "http://ctf5.shiyanbar.com/basic/injec...
CTF库超详细资源合集
06-14
在传统的CTF线上⽐赛中,Web⽬是主要的型之⼀,相较于⼆进制、逆向等类型的⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问,不需具特别强的编程能⼒,故⼊门较为容易。Web⽬常见的漏洞类型...
web渗透-CTF杂项练习
08-11
压缩包中有各种CTF杂项练习,每种型各一个,部分目文件已将答案(如分离好的图片)一并包含,请细心鉴别以防做时引发误解
精选资源
ctf web 找flag夺旗赛概述、原理及应用.pdf
05-13
### CTF Web 找flag夺旗赛概述、原理及应用 #### 一、概述 CTF(Capture The Flag,夺旗赛)是网络安全领域内一种极为流行的竞赛形式,尤其是在Web安全领域。这种竞赛模式旨在模拟真实世界的网络安全挑战,...
【fairy】实验吧——老鼠
weixin_40822297的博客
09-28 689
目链接:http://ctf5.shiyanbar.com/basic/catch/ (1)输入“123”,返回“Check Failed!” (2)查看源码,也没发现什么提示,尝试抓包 (3)ctrl+R、go。发现返回包里有段base64,修改提交值后,base64值不变 (4)base64解码后 (5)尝试提交base64解码后的值,Check Failed!...
实验吧-老鼠 Writeup
baynk的博客
08-31 902
应该是8月最后一篇。。。 过程 链接:http://ctf5.shiyanbar.com/basic/catch/ 这个还是很简单的,而且之前有个和这个很像,做的很快。 进入就是提交一个参数,随便写了些东西,没发现明显注入,丢入burpsuite中看。 发现有明显的非常规http头部信息,还是base64加密的,解密后是一串数字,然后提交后仍然数字,感觉像是时间戳。。。 还是失败了,可能是手速...
实验Web-难-老鼠
weixin_30480583的博客
12-19 130
目好像就有让我们抓包的意思。 不管输什么走势一个结果:Check Failed! 也用bp爆破了,但是出不来什么结果。 抓到包后,送到repeater中go一下,发现有一串base64码,以为解码后就是正确的输入数据,谁知道不用转换就行。 于是传递该base64编码,就拿到flag了。 转载于:https://www.cnb...
老鼠&what the fuck!这是什么鬼东西?-实验
Xi4or0uji
05-14 616
老鼠就打开网页没看到有什么东西,只是要输入一个key,随便乱输入就看见他返回一个有点奇怪的东西然后把它当做key输进去就拿到flag了,不知这道究竟在考什么...........可能是我太菜了,看不出,感觉flag出来的有点快.........what the fuck!这是什么鬼东西?就一点开网页,看见.....[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[...
实验WEB CTF 老鼠 全网最简单易懂的解方法
hello world
03-13 759
前言 目网址:http://www.shiyanbar.com/ctf/20 需要用到的工具: burpsuite 官方视频教程:0102 开始 首先打开burpsuite,切换到Proxy选项卡,确保intercept是关着的。 打开网址,输入“123”然后打开burpsuite的intercept,接着点击网页上的“submit query”提交出去, 在burpsuite中点击Action,选择“Send to Repeater” 切换到Repeater选项卡,点击...
实验CTF练习---WEB---老鼠解析
dingbai2663的博客
09-04 547
实验web老鼠 地址:http://www.shiyanbar.com/ctf/20 flag值:KEY: #WWWnsf0cus_NET# 解步骤: 1.观察意,说是老鼠,catch!catch!catch!嘿嘿,不多说了,再说剧透了通过这句话判断是让我们来抓包,于是进入解页面 2.通过一些列的提交和查询源代码,并...
老鼠
hojay的专栏
04-01 617
老鼠以固定速度v从x0点出发沿x轴前进,v为 单位是n unit/s, x0是非负整数。可以走任意非负整数长的距离,走到点上可以知道老鼠在与不在这个点,但不能知道老鼠在该点的前方还是后方。问:如果设计的策略来保证一定可以抓到老鼠。 解答:其实这考的是穷举罗列。先简化一下干,如果x0=0,如何设计的策略。答:让一次探测1,4,9,16,25.。。。肯定能在某个n平方处逮到老鼠。原理就
CTF 老鼠
zero
08-04 1429
catch!catch!catch!嘿嘿,不多说了,再说剧透了 解链接: http://ctf5.shiyanbar.com/basic/catch/ 打开 随便输入一段字符 根据目提示进行抓包 打开浏览器菜单,按下快捷键f12进入web控制台 在弹出的web控制台中,选择到“网络” 点击“重新载入”,或者按下快捷键F5,刷新网页就能抓取网页上的内容 接下来,选...
鼠游戏》想到的CTF场景。。。。。
coloic的博客
07-18 724
一:电影简介 《鼠游戏》是一部电影,也称《逍遥法外》(英文名:Catch Me If You Can,即:有种来抓我),是由斯蒂文.斯皮尔伯格执导的一部经典电影,以欺骗艺术为主,把社会工程学演绎得淋漓尽致。 二:剧情简介 影片主要描述了FBI高级探员卡尔,与欺骗大王弗兰克之间,上演的一场场老鼠的游戏。...
ctfwebJAVASQL
最新发布
12-29
CTF Web目中涉及JAVA和SQL的部分,有SQL注入和Java反序列化等情况。在SQL注入方面,可分为字符型和数字型,字符型注入要注意字符串闭合问,例如数字型猜测SQL语句为`select * from table where id=8`,字符型猜测SQL语句为`select * from table where username='admin' Union注入`[^2]。 从引用的代码示例来看,存在一个Java类`Test`,该类有一个处理SQL字典查询的方法`sqlDict`,代码如下: ```java package 部分class; import cn.abc.common.bean.ResponseCode; import cn.abc.common.bean.ResponseResult; import cn.abc.common.security.annotation.Access; import cn.abc.core.sqldict.SqlDict; import cn.abc.core.sqldict.Table; import io.swagger.annotations.ApiOperation; import java.io.IOException; import java.util.List; import org.springframework.web.bind.annotation.CrossOrigin; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @CrossOrigin @RestController @RequestMapping({"/common/test"}) public class Test { @PostMapping({"/sqlDict"}) @Access @ApiOperation("为了开发方便对应数据库字典查询") public ResponseResult sqlDict(String dbName) throws IOException { List<Table> tables = SqlDict.getTableData(dbName, "root", "abc@12345"); return ResponseResult.e(ResponseCode.OK, tables); } } ``` 在解答此类目时,对于SQL注入,需要根据不同类型(字符型或数字型)采用不同的注入方法。对于字符型注入,要正确闭合字符串,然后构造恶意的SQL语句进行注入;对于数字型注入,可直接构造恶意的数字值来尝试注入。对于Java相关部分,可能需要关注Java反序列化漏洞,检查代码中是否存在不安全的反序列化操作,以及如何利用这些漏洞来获取敏感信息或执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值