CTF日记之 “百度杯”CTF比赛 十月场 GetFlag

最新推荐文章于 2025-10-27 14:04:58 发布
原创 最新推荐文章于 2025-10-27 14:04:58 发布 · 730 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #python #web

CTF日记:“百度杯”CTF比赛 十月场 GetFlag

在这里插入图片描述打开题目,看到一个被嘲讽的界面,然鹅自己并不是单身狗。。。正常思路,查看源码,发现正常,之后点击login:
在这里插入图片描述
还是先查看源码,发现有没有疏漏什么东西,发现一切正常,在进行抓包看看有没有什么疏漏的东西,发现也一切正常,下面开始把关注点放在这个页面上面。正常的登录框,再加上一个验证码,这个验证码的意思是:一个数的md5值的前六位是afce73,那我们就进行爆破计算:
python脚本

import hashlib
i=1
while True:
    hex=hashlib.md5(str(i).encode('utf-8')).hexdigest()
    if
最低0.47元/天 解锁文章
百度CTF比赛 十月 GetFlag
feng的博客
09-30 761
这题主要考察了用python写脚本来爆破md5,然后是SQL注入中的万能密码,然后是文件下载后最后对eval函数的考察。
CTF日记之 “百度CTF比赛 十月
sunleibaba的博客
01-28 554
CTF日记:“百度CTF比赛 十月 Vld 点开之后发现: 还是先查看源代码: 访问: index.php.txt 发现了一堆这个东西,然后根据之前的界面上写的do you know Vulcan Logic Dumper?,百度一下“Vulcan Logic Dumper”: 这肯定就是所谓的Vulcan Logic Dumper了,先了解下相关概念 PHP内核-Zend引擎:http://www.php.cn/php-weizijiaocheng-355597.html PHP中的opc
计算机大学生必看:为什么要打CTF比赛?一文解析参赛门槛和获奖收益!_ctf参赛要求
最新发布
十年网络攻防经验 每天分享网络安全知识
10-27 943
对想进入网络安全行业的大学生而言,CTF 比赛的价值在于:它用 “实战题目” 倒逼你掌握行业核心能力,用 “权威奖项” 为你的技术背书,用 “赛事资源” 帮你链接行业圈子 —— 这些都是课堂学习、普通实习难以替代的。无需担心 “零基础学不会”,从 Web 方向入手,3 个月掌握基础工具,6 个月参加模拟赛,1 年冲击省级奖项,是多数普通大学生可实现的路径。更重要的是,CTF 培养的 “解题思维、抗压能力、团队协作”,不仅能帮你拿到 Offer,更能支撑你在网安行业长期发展。
百度CTF比赛 十月 fuzzing
feng的博客
10-05 1010
前言 这题并没有什么特别难的地方,考察的点也不算很深,自己主要还是知识面太窄和思考问题太死板上面。 WP 首先进入环境,提示there is nothing。f12查看源码,用dirsearch扫,试试备份文件也找不到什么,只能Burp抓包看看,发现了相应头里有提示: hint: ip,Large internal network 这和ip有关,自己一开始也以为是x-forwarded-for,试了127.0.0.1然后没什么用,然后就卡住了。其实这样还是自己知识面的问题,自己对于内网的了解实在太少了。这
ctf GetFlag
cs_xiaoqiang的博客
01-18 6511
今天好不容易将这道题做出来了,来与大家分享分享。题目如下:访问连接:   http://106.75.26.211:2222   先查看源码,没有任何发现。但是在页面上发现一个登陆窗口,跳转到登陆窗口。并且发现验证码是纯数字的md5的值取最前面的6位,那么可以自己写一个脚本来跑 有了验证码之后,本来是准备尝试爆破的。可是发现每访问一次验证码都会改变,所以这条路明显行不通。经过多次的尝试之后发现登陆
百度CTF比赛 十月GetFlag
大方子
08-22 2383
  ========================== 个人收获: 1.不要怕,多尝试 2.知道Linux web网站的默认路径 /var/www/html 3.里面有个小疑问为什么flag后面要加; (因为eval中要执行的代码也必须是完整的PHP代码,PHP是以  ;  作为一个语句的结束符的)找到的答案   ==========================   题目...
i春秋 “百度CTF比赛 十月 GetFlag
include_heqile的博客
09-22 1383
https://www.ichunqiu.com/battalion?t=1&r=0 进入题目链接,是一个调侃界面,调侃单身狗的,然后我们进入login界面,这两个界面的源代码中都没有任何提示,但是我在目录中发现了flag.php文件,不过没有任何线索,页面源代码中也没有任何线索。。。。。 任何就老老实实的看登陆页面,我开始并没有正确理解那个验证码框,我以为只要输入他页面上的substr(...
百度CTF比赛 十月 writeup
weixin_45871855的博客
08-30 1755
分值:10分 类型:Misc题目名称:考眼力未解答 题目内容: gmbh{4d850d5c3c2756f67b91cbe8f046eebd} try to find the flag
15、Python安全问题与CTF实战案例解析
nept的博客
08-04 99
本文深入解析了Python中的多种安全问题,包括敏感信息泄露、模板注入、反序列化漏洞、XXE和SSRF等,并结合CTF比赛中的实战案例展示了如何利用这些漏洞进行攻击与防御。文章还总结了各类安全问题的产生原因、影响及防范措施,提出了安全开发流程,并展望了未来Python安全的发展趋势。通过本文,开发者可以更好地认识Python安全风险,提升安全开发能力。
百度CTF比赛 十月 Hash
feng的博客
10-04 798
WP 这题也是学习到了很多新的姿势,是一个不错的题目。 WP 进入环境,点击haha,提示:you are 123;if you are not 123,you can get the flag。 再看看,发现get参数里有key=123&hash=f9109d5f83921a551cf859f853afe7bb f12查看源码,发现$hash=md5($sign.$key);the length of $sign is 8 因此我们需要知道$sign是多少。我利用在线md5解密工具,上面的hash
[i春秋]“百度CTF比赛 十月-Hash
笑花大王
02-03 692
前言 涉及知识点:反序列化、代码执行、命令执行 题目来自:i春秋 hash 如果i春秋题目有问题可以登录榆林学院信息安全协会CTF平台使用 或者利用本文章提供的源码自主复现 [i春秋]“百度CTF比赛 十月-Hash 点击hahaha进入下一个页面 进入之后我们发现这有一段英文说如果不是123 我们就可以获得flag 我们分析URL key部分有个123 我们替换成...
ctf竞赛ctf
08-07
ctf 实验步骤 
i春秋 “百度CTF比赛 十月 Vld
include_heqile的博客
09-27 1457
https://www.ichunqiu.com/battalion?t=1&r=0 opcode中的 BEGIN_SILENCE就是@,不显示报错信息 猜测opcode中的 EXT_STMT就是;,表示一个语句的结束 opcode中的FETCH_R意思是从某个变量中取出值并把这个值赋给另一个变量 详细信息参考php opcode JMPZ,若比较结果为false,则跳转到指定地址处的代码...
百度CTF比赛 十月 - try again
Darenfy 随记
01-06 539
题目内容: try to find the flag 附件下载 解题思路 老规矩,没有任何后缀的可执行文件,直接扔 010editor 里面,然后尝试性查找 flag
百度CTF比赛 十月 Web-登录
qq_34106499的博客
02-18 1705
1. mysql盲注及脚本编写 2. .git泄露
百度CTF比赛 十月 Hash 复现
weixin_34152820的博客
04-25 710
进入题后老套路得到两个关键: 1.$hash=md5($sign.$key);the length of $sign is 8 2.key=123&hash=f9109d5f83921a551cf859f853afe7bb 然后md5解密那个hash=kkkkkk01123 根据源码说的$sign位数为8位,后改一下key 然后md5后得到提示Gu3ss_m3_h2h2.php这个...
CTF日记之 “百度CTF比赛 十月 Hash
sunleibaba的博客
02-01 651
CTF日记:“百度CTF比赛 十月 Hash 点进去之后发现“haha”,而且haha还可以点击,先不要急着点击haha,先查看源代码,发现了参数?key=123&hash=f9109d5f83921a551cf859f853afe7bb;这个东西可能会有用吧,再点击haha,发现: 此时我们的url正是我们刚刚查看的参数,再次查看源代码,发现: 源代码中告诉我们:hash这个参数是把sign参数和key参数拼接起来进行md5加密得到的,其中的key=123我们是知道的,现在就要通过爆破
那些年踏过的CTF坑--GetFlag~(三)
u011215939的博客
01-19 3108
遇到一个写脚本的CTF了,刚刚开始我还以为需要SQL注入之类的,但是分析网页源码发现没有action操作,应该是本文件自己提交,自己验证的!具体情况如下: 访问IPhttp://106.75.26.211:2222/ 呃呃呃~很简单的页面,只有一个login的登录按钮,网页源码没有什么特别的,所以直接访问下一个页面,看看有什么妖气! 一个登录页面,经过分析,就像刚
CTF比赛入门详细教程,通俗易懂,看一遍就会!(含实例)
m0_59236602的博客
07-16 1662
CTF的全称为“Capture The Flag”,中文译为“夺旗赛”。它是一种网络安全竞赛形式,是黑客攻防的模拟战。参赛团队或个人(选手)需在设定的虚拟环境中,发现并利用目标系统中的安全漏洞或破解设计精巧的谜题,最终找到一串特殊的字符串或文件——“Flag”,将其提交至计分平台以获得相应分数。如果形象地理解,CTF就像一网络空间中的“寻宝”或“攻防演习”,选手们需要综合运用密码分析、逆向工程、漏洞利用、Web渗透、取证分析等多种网络安全技能来攻克挑战。
工匠-CTF比赛全解析:题目、解答与思路
在提供的资源中,包含了“工匠比赛”的三道题目、解答(WriteUp)和相关脚本。解答部分详细描述了解题思路,包括如何分析和解决问题的每一个步骤。脚本则可能包含了用于自动化攻击、信息获取、漏洞利用等操作的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二哈它爸

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值