vspiders的博客

0x00 前言在安全的大趋势下，信息安全越来越来受到国家和企业的重视，所以CTF比赛场次越来越多，而且比赛形式也不断的创新，题目也更加新颖有趣，对选手的综合信息安全能力有一个较好的考验，当然更好的是能从比赛有所收获，不断学习和总结提升自己的信息安全能力与技术。转到CTF比赛上，通常在CTF比赛中常有与隐写术(Steganography)相关的题目出现，这里我们讨论总结图片隐藏文件分离的方法

题目描述一个网页，不妨设URL为http://haha.com，打开之后是这样的if (isset($_GET['a']) and isset($_GET['b'])) { if ($_GET['a'] != $_GET['b']) { if (md5($_GET['a']) === md5($_GET['b'])) { echo (

1.MD5 compare漏洞PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以”0E”开头的，那么PHP将会认为他们相同，都是0。 常见的payload有0x01 md5(str) QNKCDZO 240610708 s878926199a

这比赛Web题质量还挺不错的，最后八道题只做出四道(我好菜啊.jpg)...不会的题看了一下别人的writeup，在这里一起总结一下你能进入后台吗? (100pt)点进链接是一个登录界面，右键查看源码有两条隐藏信息然后扫目录扫到了一个index.php.bak，下载下来打开后是乱码，尝试了一下前段时间pwnhub上出过题的phpjiami无果，到这里就没思路

实践是检验真理的唯一标准简介zip文件是一种压缩文件，可进行加密，也可不加密。而伪加密是在未加密的zip文件基础上修改了它的压缩源文件目录区里的全局方式位标记的比特值，使得压缩软件打开它的时候识别为加密文件，提示输入密码， 而在这个时候，不管你用什么软件对其进行密码破解，都无法打开它！这就是它存在的意义！zip官方文档 zip中文详解文件组成