[CTF]天下武功唯快不破

最新推荐文章于 2020-08-23 01:22:20 发布
原创 最新推荐文章于 2020-08-23 01:22:20 发布 · 676 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种通过Python脚本快速破解CTF竞赛中Flag的方法。利用base64解码和POST请求,结合burp等工具进行爆破,实现了高效破解。此方法适用于需要快速响应的CTF挑战。

类型:web
网址:http://www.shiyanbar.com/ctf/1854
攻击:无
一句话总结:
response取得FLAG值,base64解密获得post请求的key值并post提交,获得flag。重点是必须使用脚本或者burp爆破插件,否则太慢

Writeup:

python脚本

import requests
import base64

url = 'http://ctf5.shiyanbar.com/web/10/10.php'

r = requests.session()
flag = r.get(url).headers['FLAG']
flag = base64.b64decode(flag)
flag = str(flag).split(':')[1]
flag = flag.split("'")[0]

param = {'key':flag}
r = requests.post(url, data=param).text

print(r);

FLAG

CTF{Y0U_4R3_1NCR3D1BL3_F4ST!}

[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
杨秀璋的专栏
08-06 1万+
上一篇文章分享了解BurpSuite工具的安装配置、Proxy基础用法,并分享一个简单的暴库案例;本篇文章分享实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功不破”和“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!
WP 4 i春秋_2017年春秋欢乐赛
segOt
04-20 4638
时间 象棋 时间 多线程、爆破 这道题目给出如下源码<?php header("content-type:text/html;charset=utf-8"); '天下武功不破'; setcookie('token','hello'); show_source(__FILE__); if ($_COOKIE['token']=='hello'){ $txt = file_get_cont
ctfWeb攻防----天下武功不破
lsimisama的博客
12-23 1801
打开网页源代码,看题目是要post一个值过去,F12打开Chrome Dev Tools 在Headers里面看到flag 看到为base64加密,构造post包,重新请求即可得到flag 需要利用python的requests库 首先安装requests库 http://blog.youkuaiyun.com/iloveyin/article/details/21444613 利用这个可
CTF---Web入门第十六题 天下武功不破
weixin_34226182的博客
11-19 371
天下武功不破分值:10 来源: 北邮天枢战队 难度:易 参与人数:10787人 Get Flag:2264人 答题人数:3373人 解题通过率:67% 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php 原题链接:http://www.shiyanbar.com/...
ctf题库--天下武功不破
miko2018的博客
08-21 4505
&lt;题目&gt; 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php &lt;解答&gt; 解题过程式解答: 1.打开拿到的网站链接,出现以下提示信息。 2.查看网页源代码,发现以下注释内容:&lt;!-- please post what you find with parameter:key --&gt; 3.根据题...
CTF-实验吧-天下武功不破
kongcz的专栏
08-03 597
题目: 看看响应头 格式:CTF{ } 解题链接:http://ctf5.shiyanbar.com/web/10/10.php 解题思路: 题目提示看相应头就先用浏览器打开题目链接查看相应头发现存在一个名为FLAG的字段,值为base64加密的字符串 通过在线工具解密,提示需要POST一个值来获取FLAG,然后页面源码上提示了POST的参数为KEY。题目中还提示了要,...
实验吧 ctf题目 天下武功不破
qq_30435981的博客
08-05 1692
  首先打开题目链接是这个页面,根据页面提示,我在想着可能跟提交刷新速度啥的有关系,先看一下源码。 根据注释里面的提示,这跟提交数据速度有关系,先抓包一下。 发现在响应头里面的flag信息,是个base64加密的。解密发现是:P0ST_THIS_T0_CH4NGE_FL4G:bO4K0gONI 后面这步参考了一些大佬的wp,这是让我们将flag信息进行base64解密,然后尽可...
暑期练习web4:天下武功不破(实验吧)
qq_41618162的博客
08-05 436
老规矩,先来看看题目及hint hint是:看看响应头 这是题目 There is no martial art is indefectible, while the fastest speed is the only way for long success. —-You must do it as fast as you can!—- 翻译:没有武术是不可缺失的,而最的速度是长期成...
关于CTF学习总结
m0_37496212的博客
02-26 3083
# -*-coding:utf-8-*- import requests import time payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.{}-' #不区分大小写的 flag = &amp;quot;&amp;quot; print(&amp;quot;Start&amp;quot;) for i in range(33): for payload in payloads: s
〖教程〗K8飞刀-网络安全CTF解题Web篇10个例子
K8哥哥
08-23 1669
前段时间有人和我说什么时候有空出些CTF用的工具,实际上CTF考查的内容,实战中用到的很多工具都可以使用,关键在于你懂不懂用。也看到有人搜索如何使用K8飞刀,在此以CTF题为例,教大家如何使用K8飞刀的HackerIE功能(相当于Hackbar插件的高级版),以及编码解码功能的使用(模块涉及多种编码以及加密解密算法),除了实战会用到以外,CTF也可以用到,不过CTF中常见的应该是BASE64、HTML编码、SQL注入编码之类的,实战中密码除了MD5、SHA1以外最常见的莫过于BASE64了,XSS里HTML
CTF 实验吧——天下武功不破(node)
AaronLuo
09-02 684
题目 看看响应头 格式:CTF{ } 解题链接 提示 看看响应头,则在浏览器中查看RESPONSE Header 在RESPONSE中,有一段注释,发送POST请求,请求体为以key为键 毫无疑问,肯定是响应头的FLAG值 观察响应头的FLAG值,很明显是经过BASE64加密了,通过BASE64解码可以看到 解码之后隐约可以看到POST_THIS_TO_CHANGE_FLAG,那么将其值,构...
【实验吧】CTF_Web_天下武功不破
weixin_30369087的博客
11-22 163
打开链接“http://ctf5.shiyanbar.com/web/10/10.php”,从页面内容未发现明显信息,查看源代码发现“please post what you find with parameter:key”,f12看到返回response headers中有flag字样,看起来是base64加密,然后构造Post包,重新请求,即可获得flag 附Pytho...
天下武功不破
Gunther的博客
08-18 4939
http://www.shiyanbar.com/ctf/1854 天下武功不破 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php 解: 题目提示:看看响应头 1.在软件开发中,我们有时会需要查看某网页请求的头部数据。尤其是POST方法的数据。使用POST方式怎么看报文: http://jin
天下武功不破--速度要
weixin_30622181的博客
03-21 256
进入题目链接,查看源代码后看到了 意思就是利用POST方法速提交呗,F12,看一下Response,看到了BASE64编码过的FLAG字段,刷新一次都会改变headers FLAG里的内容,所以要提交噢 因此写个PY脚本来POST提交,得到flag #天下武功不破 import requests import base64 response= requests.ge...
CFT每日一题之 天下武功不破
xiaotu0821的博客
06-21 1873
首先,进入题目页面,大意就是说,你必须足够(二十年没白撸的那种)一开始以为是页面重定向,然后抓包   欸,在响应包里发现了什么 FLAG ,没错,就是FLAG,这还不是美滋滋,复制提交 。哎,卧槽,不对,肯定是网络问题,再提交,还不对,思考三秒,哦,知道了,肯定是没解密,看到==两个符号,大概是base64 ,放hackbar里解密一下,将解密后的flag提交,依然不对。刷新页面 重新抓包,发现...
Tamevic's Ctf-Web writeup@实验吧‘天下武功不破
Tamevic的博客
03-05 1024
Tamevic’s Ctf-Web writeup@实验吧‘天下武功不破’ 第一篇wp,希望自己有个好的开始,养成一个好的习惯 url: http://www.shiyanbar.com/ctf/1854 分析 看到题目提示我们看看响应头。先点击进入url,调出控制台查看响应头 能看到其中含有 key:UDBTVF9USElTX1QwX0NINE5HRV9GTDRHOkFOM0xkUmd...
天下武功不破-实验吧
Xi4or0uji
05-08 4455
  点开看见 然后题目暗示看看响应头,结果看到flag 感觉就是base64加密,然后解密,这个时候看下页面代码还有这句 所以题目就是想要我们去拿到header的flag,base64解密,然后再在url传key     同时还发现,传过来的flag是个随机值........手动解密是不够时间的了,只能借助脚本的力量了 #coding:utf-8 import reque...
天下武功不破-Jeecg极速开发平台
chiwan8098的博客
05-05 172
正所谓天下武功不破,客户恨不得他的项目在签完合同的下一秒就能交付使用,在客户眼里,他不管你用什么技术,不管你怎么完成的,只要你的开发速度够、系统够稳定、他用起来很方便很爽就行。总结3个字就是:,稳,爽。 我们在日常开发过程中,最繁琐的一些环节就是...
实验吧-web-天下武功不破(Python中byte和str的转换)
Sea_Sand息禅
02-17 421
题目:看看响应头 打开网站,既然已经提示我们看响应头了,那我们就看看呗(习惯bp,也可直接F12查看)  可以看到,响应头部分有个FLAG,而且有提示:please post what you find with parameter:key 所以就将FLAG解码后post,解码之后是:P0ST_THIS_T0_CH4NGE_FL4G:omiFOwSfc 所以post:key=omiFO...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值