CTF基础练手
关注
分享
扫一扫
CTF
爱吃鱼L
这个作者很懒,什么都没留下…
展开
-
“百度杯”CTF比赛 2017 二月场——Web-爆破-3
题目描述解题思路创建赛题,打开链接 提示说这个是爆破, 看完代码以后,发现其实手动爆破也行 利用md5函数不能对数组进行处理,所以传数组,然后构造?value[0]=e&value[1]=a,根据每一次的页面,修改value[0]value[1]的值即可,只要操作大于等于10次,就可以出flag flag{c0a65f45-3206-4618-8bc0-ba...原创 2018-05-07 23:26:49 · 1073 阅读 · 0 评论 -
“百度杯”CTF比赛 2017 二月场——Web-爆破-2
题目描述解题思路创建赛题,打开链接 提示说,flag不在变量中,看完代码,就想到,不在变量中,就应该在文件中了,使用get_file_contents函数,构造如下: http://f79f87d42ad840a8acdec9e8d8eb89dfb8844920bd6e4950.game.ichunqiu.com/?hello=file_get_contents(%27flag...原创 2018-05-07 23:00:43 · 1308 阅读 · 0 评论 -
百度杯”CTF比赛 2017 二月场——Web-爆破-1
题目描述解题思路打开链接 提示说flag在变量里,看到var_dump(),$$a时,就猜测是考察超全局变量GLOBALS 所以就构造http://7d30e96f64ea46cebb0bb8321544000282aff8f4efd34bb1.game.ichunqiu.com/?hello=GLOBALS 即可得到flag:flag{fa6d5cb6-9b98-4...原创 2018-05-07 22:23:57 · 1253 阅读 · 0 评论 -
2017第二届广东省强网杯线上赛——WEB-broken
首先看到这个题目,就想到得到的这个文件是有问题的,一般内容上不会丢失,应该缺少的是格式上的一些头啊什么的点击链接点击filejsfuck ,按照常见的套路复制粘贴到控制台执行根据提示,查看代码,因为是[]没有闭合,所以想到是在头部或者尾部的地方有问题,看到开头出现两个[[,所以先尝试将文件的[[改为[][因为flag不在这里,所以想到不是在代码执行结果中,就应该在代码中了,所以删除最后代表func...原创 2018-04-06 09:08:25 · 1482 阅读 · 0 评论 -
2017第二届广东省强网杯线上赛——MISC-Bubble
首先看到Bubble想到的是冒泡算法点击链接,下载文件,解压得到先修改了一下文件后缀,打开txt文件xinik-samak-luvag-hutaf-fysil-notok-mepek-vanyh-zipef-hilok-detok-damif-cusol-fezyx感觉这是一种加密过的文本想到题目的bubble,所以找bubble加密之类的关键字后来查到应该是Bubble Babble Encod...原创 2018-04-05 19:27:59 · 1539 阅读 · 0 评论 -
2017第二届广东省强网杯线上赛——WEB-phone number
打开链接,进入登录界面http://106.75.72.168:3333/login.php看源码抓包查看源码发现最大长度为11,没有设置电话的前几位数字注册一个新用户burp suite抓包点击check源码联想到题目想到应该是在电话这里作为突破口应该是注入,因为必须是数字,所以最先想到二进制,但是发现行不通所以尝试16进制,发现可以成功,所以登录,按照注册的名字登录,发现电话号码是修改的sql...原创 2018-04-04 20:17:58 · 2716 阅读 · 0 评论 -
2017第二届广东省强网杯线上赛——WEB-who are you?
打开网址查看网页源代码将网址在御剑里扫扫的同时,burpsuite抓包,一般情况下,考虑到出题说我是谁,所以一般想到用户身份,会在cookie/session这边动手脚所以base64一下得到f:5:"thrfg";挨个试了一下解密,发现是rot13(也有看别人的writeup)因为权限不够,所以尝试adminbase64加密之前又在御剑中扫到uploads目录,但是是403所以应该是POST上传...原创 2018-04-03 20:04:54 · 2340 阅读 · 2 评论 -
BugKuCTF(CTF-练习平台)——Crypto-滴答~滴
题目描述:题目解答:1)思路:看到题目,说明是摩斯密码,在网址http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx中解密2)解码:故flag为:KEY{BKCTFMISC}...原创 2018-01-23 09:07:54 · 4647 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——Crypto-聪明的小羊
题目描述:题目解答:1)思路:看到栅栏,想到栅栏密码,2个说明每组字数为2,在网址http://www.qqxiuzi.cn/bianma/zhalanmima.php中解密2)解密:故flag为:KEY{sad23jjdsa2}...原创 2018-01-23 09:16:55 · 3264 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——Crypto-ok
题目描述:题目解答:1)思路:看到题目,说明是Ook编码(这里分享13种不常见的编码http://news.mydrivers.com/1/190/190926.htm),在网址http://tool.bugku.com/brainfuck/中解密2)解密:故flag为:flag{ok-ctf-1234-admin}...原创 2018-01-23 09:33:24 · 3012 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——Crypto-简单加密
题目描述:问题解答:1)思路:初见题目,这是一段加密文字,观察后两位是相同的字母,这让我想到是凯撒加密与base64相结合的加密方式。1)解密:1.根据ASCII表,将上述文字转换为十进制,网址http://www.ab126.com/goju/1711.html2.打开文本编辑器,将得到的字符串中的空格替换为“,”因为,确定前移4位,打开vs将...原创 2018-01-29 13:09:53 · 2795 阅读 · 1 评论 -
实验吧——密码学-变异凯撒
因为是凯撒加密,所以思考移动的位数,由flag{}格式,所以对照ascii表,由a-f为5,f-l为6,Z-a为7,_-g为8,故猜测移动的位数为从5依次递增,将密文换为十进制,打开vs,#include<iostream>using namespace std;int main(){int a[22]={97,102,90,95,114,57,86,8...原创 2018-02-18 21:35:21 · 7904 阅读 · 0 评论 -
实验吧——密码学-传统知识+古典密码
辛卯为28,癸巳为30,丙戌23,辛未为8,庚辰为17,癸酉为10,己卯为16,癸巳为30,各加甲子(甲子为60),故为88,90,83,68,77,70,76,90一般就是栅栏,凯撒,因此栅栏凯撒发现两栏的SHUANGYU意为双鱼,比较连贯,尝试flag:CTF{SHUANGYU},发现正确...原创 2018-02-18 21:36:25 · 2676 阅读 · 0 评论 -
实验吧——密码学-js
打开链接查看源码复制源码,打开网页控制台,将eval改为console.log回车执行出现发现unicode编码\u0053\u0069\u006d\u0043\u0054\u0046\u007b\u006a\u0073\u005f\u0065\u006e\u0063\u006f\u0064\u0065\u007d解码即得flag...原创 2018-02-18 21:54:44 · 671 阅读 · 0 评论 -
实验吧——密码学-The Flash-14
拿到题,没什么思路,看到是The Flash(闪电侠),就百度闪电侠14集加密方式, 正好没事,就看了一会儿第二季的14集,看到他们说的5*5矩阵,上网搜到一张图将所给的数字两两一组,得到一串密文YSMWGTZOGVWGTOGHAOB想到栅栏和凯撒,测试发现不需要栅栏,凯撒直接出来KEYISFLASHISFASTMANctf{FLASHISFASTMAN}不对,想到小写ct...原创 2018-02-18 22:30:19 · 1242 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——WEB-计算题
打开网址发现只可以填写一位数修改maxlength即得flag原创 2018-02-25 20:58:53 · 1145 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——WEB-矛盾
打开网址查找is_numeric函数即num既不能是数字字符,但是要等于1我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此,构造payloadnum=1*e*0.1可以得到flag...原创 2018-02-25 22:12:05 · 13014 阅读 · 4 评论 -
BugKuCTF(CTF-练习平台)——WEB-Web3
打开网址查看源码将该转义序列,放到html文件即得flag原创 2018-02-25 23:00:11 · 5415 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——WEB-sql注入
打开网址注入题修改id的值发现只在id=1时显示,说明注入点应该是id=1‘闭合,发现不报错,尝试宽字节注入报错KEY{54f3320dc261f313ba712eb3f13a1f6d}...原创 2018-02-25 23:07:08 · 3698 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——Crypto-一段Base64
题目描述:题目解答:1)思路:下载base64.txt文件,发现一大段加密文字2)解密:原创 2018-03-10 09:52:04 · 3276 阅读 · 3 评论 -
BugKuCTF(CTF-练习平台)——Crypto-.!?
原创 2018-03-10 10:09:16 · 3438 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——Crypto-奇怪的密码
看到密文,就想到应该是凯撒或者是栅栏与凯撒,有符号,考虑到ASCII表对照表 gndk的10进制的ASCII码分别是:103 110 100 107flag的10进制的ASCII码分别是 :102 108 97 103规律是加1,2,3,4做过一个类似的题(变异的凯撒)所以尝试了flag{₧lei_ci_jiami},发现不对,就flag{le...原创 2018-03-10 11:08:05 · 4552 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——Crypto-托马斯.杰斐逊
没见过这个密码,百度上查了一下这个人,了解转轮加密方式后得到发现倒数第六列,有bugku这几个词,所以flag{XSXSBUGKUADMIN}发现不对,就换成小写flag{xsxsbugkuadmin}...原创 2018-03-10 11:34:48 · 3760 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——Crypto-zip伪加密
按平时压缩包的套路,放到winhex中发现他把文件头修改了,所以把09改成00,重新打开原创 2018-03-10 11:50:21 · 4038 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——Crypto-来自宇宙的信号
百度银河语言flag{nopqrst}原创 2018-03-10 12:38:58 · 3507 阅读 · 0 评论 -
BugKuCTF(CTF-练习平台)——WEB-SQL注入1
%00截断http://103.238.227.13:10087/?id=-1%20uni%00on%20sel%00ect%201,database()%23http://103.238.227.13:10087/?id=-1%20uni%00on%20sel%00ect%201,hash%20fro%00m%20sql3.key%23KEY{c3d3c17b4ca7...原创 2018-03-10 14:13:41 · 2042 阅读 · 0 评论 -
第三届“百越杯”福建省高校网络空间安全大赛——WEB-Do you know upload?
打开链接,发现是文件上传题,所以就先按正常套路来burpsuite抓包改文件类型上传成功菜刀连上以后在config文件中得到用户名和密码得到flag这道题有很多种做法,我就不一一列举了,总之是很基础的题了...原创 2018-04-07 17:29:58 · 1209 阅读 · 0 评论 -
实验吧——Web-PHP大法
题目描述结题思路点开链接 根据提示,打开index.php.txt 首先,需要绕过eregi函数验证,输入的字符串必须不能有“hackerDJ”,大小写都不可以 其次会将传入的字符串进行url解密 最后如果字符串等于hackerDJ,则输出flag所以理清思路以后,先将字符串url加密一次 尝试发现 想起来,浏览器会自动为我们decode一次,所以尝...原创 2018-05-24 20:56:26 · 861 阅读 · 0 评论 -
实验吧——Web-what a fuck!这是什么鬼东西?
题目描述解题思路点开链接 放到控制台,得到密码 这个就是flag原创 2018-05-24 21:10:57 · 782 阅读 · 0 评论 -
“百度杯”CTF比赛 九月场——Web-Upload
题目描述解题思路看到提示,随意上传文件,并且flag在flag.php中,创建赛题,打开链接 就简单上传一个一句话上去 &amp;lt;?php @eval($_POST[&quot;code&quot;]); ?&amp;gt;结果显示上传成功,但是,发现把“&amp;lt;”和”php ”给过滤掉了 那我们就很自然的想到PHP的长标签了 重新修改代码 &am原创 2018-05-28 19:13:59 · 2681 阅读 · 0 评论 -
hackinglab-脚本关1——key又又找不到了
key又又找不到了题目描述:解题思路:1、打开网址, 2、按照提示,跳转到下一页面 得到key原创 2018-07-23 08:27:37 · 1865 阅读 · 0 评论 -
hackinglab-脚本关2——快速口算
题目描述解题思路1、发现是一个计算题 提交显示 2、这就需要脚本了,先获取自己的cookie 3、脚本: import requests import re url = 'http://lab1.xseclab.com/xss2_0d557e6d2a4ac08b749b61473a075be1/ index.php' ...原创 2018-07-23 08:49:11 · 1834 阅读 · 0 评论 -
hackinglab-脚本关3——这个题目是空的
这个题目是空的题目描述解题思路这道题连通关地址也没有,大概就是考脑洞了。 什么才是空的呢,提示是小写,那就是null了, 提交显示正确。...原创 2018-07-23 08:59:08 · 783 阅读 · 0 评论 -
hackinglab-脚本关4——怎么就是不弹出key呢?
怎么就是不弹出key呢?题目描述解题思路1、看题,觉得应该是js的题,打开果然不出所料, 2、查看源代码 三个非常显眼的return false,就直接复制下来,改成ture,本地跑,结果还不对,仔细一看,那三个函数一点用都没,都被a()覆盖了,所以删掉 3、弹出弹窗 前14个字符就是key 然后我就非常傻的输了charsslakfjtes 然后错误,又...原创 2018-07-23 09:02:01 · 1632 阅读 · 0 评论 -
hackinglab-脚本关5——逗比验证码第一期
逗比验证码第一期题目描述解题思路1、打开发现是一个模拟登陆界面 2、随意输了一个四位纯数字密码,提示密码错误 估计就是要暴力破解了,刚才题目又提示验证码有没有都一样,所以应该是可以绕过 3、抓包 发现这个验证码可以只输一次,不过期 所以爆破 4、使用burp suite的Intruder 5、添加爆破的变量 6、设置密码的范围 7、...原创 2018-07-23 09:05:59 · 1510 阅读 · 2 评论 -
hackinglab-脚本关6——逗比验证码第二期
逗比验证码第二期题目描述解题思路1、打开题,是这样的 2、直接抓包 试了一下,修改密码以后,果然提示验证码错误,但是,发现验证码只在第一次做了验证,无论对错,令验证码为空,发现可以绕过验证码,提示密码错误,爆破 3、爆破过程下: 4、得到密码 5、输入正确密码得到key ...原创 2018-07-23 09:08:47 · 880 阅读 · 0 评论 -
hackinglab-脚本关8——微笑一下就能过关了
微笑一下就能过关了题目描述解题思路1、点开题, 查看源码 发现有个源码链接,打开 2、代码审计 (1)不可以提交^_^ (2)不可以包含“.”、“%”、“0-9的数字”、“%”、“http”、“https”、“ftp”、“telnet”、“%” (3)不可以包含“_” (4)不可以存在文件,但文件的内容要是(●’◡’●) 3、这道题基本上就是在考PH...原创 2018-07-23 09:12:17 · 1623 阅读 · 0 评论 -
hackinglab-基础关1——key在哪里?
key在哪里?题目描述:解题思路:打开网址,右键源代码,得到key原创 2018-07-27 09:01:31 · 707 阅读 · 0 评论 -
hackinglab-基础关2——再加密一次你就得到key啦~
再加密一次你就得到key啦~题目描述: 解题思路:不是栅栏就是凯撒,实在不行,就是栅栏和凯撒一起,这道题只是凯撒原创 2018-07-27 09:03:05 · 2436 阅读 · 0 评论 -
hackinglab-基础关3——猜猜这是经过了多少次加密?
猜猜这是经过了多少次加密?题目描述: 解题思路:查看密文,发现是base64 解密 大概20次,得到key原创 2018-07-27 09:04:27 · 2373 阅读 · 0 评论