ctf实验吧题目：貌似有点难

最新推荐文章于 2024-08-08 20:05:56 发布

原创最新推荐文章于 2024-08-08 20:05:56 发布 · 739 阅读

0 ·

CC 4.0 BY-SA版权

本文介绍了一道CTF实验题目，要求伪造IP访问网页。通过使用burp抓包并修改请求头，成功获取了答案。这是一次针对网络安全技能的实践，展示了如何利用burp进行中间人攻击。

ctf实验吧题目：貌似有点难

题目界面
点开源码就可以看到题目要求伪造ip访问
题目要求：伪造ip访问网页
解题方法：通过burp抓包修改请求头即可获得答案
原抓包内容：
在这里插入图片描述
发送到Repeater中修改后go即可获得答案

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

「已注销」

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

CTF-web-貌似有点难

zhz444614971的博客

04-01

452

CTF-web 0x01:貌似有点难题目链接:http://ctf5.shiyanbar.com/phpaudit/ python代码： import requests s=requests.Session() url='http://ctf5.shiyanbar.com/phpaudit/' headers={ # 'X_FORWARDED-FOR':'1.1.1.1', 'Con...

实验吧ctf

四盘山博客

07-25

3392

1/登陆一下好吗??http://ctf5.shiyanbar.com/web/wonderkun/web/index.html =' =' ctf{51d1bf8fb65a8c2406513ee8f52283e7} 2/who are you ? http://ctf5.shiyanbar.com/web/wonderkun/index.php import requests impor

1 条评论您还未登录，请先登录后发表或查看评论

实验吧CTF-web

code_lab

02-27

6527

登陆一下好吗类型：sql注入已经过滤了/ # -- select or union |等，但是没有过滤单引号payload:username=pcat'='&password=pcat'='原sql语句为：select * from user where username='用户名' and password='密码'拼接后为：select * from user where username='p

CTF---Web入门第五题貌似有点难

weixin_34280237的博客

11-08

271

貌似有点难分值：20 来源：西普学院难度：难参与人数：7249人 Get Flag：2519人答题人数：2690人解题通过率：94% 不多说，去看题目吧。解题链接： http://ctf5.shiyanbar.com/phpaudit/ 原题链接：http://www.shiyanbar.com/ctf/32 【解题报告】　　这是我入门...

【fairy】实验吧——貌似有点难

weixin_40822297的博客

09-28

432

题目链接：http://ctf5.shiyanbar.com/phpaudit/ emmm。代码审计，我不会啊～（1）点下查看源码：（2）看了源码，虽然不会php，但知道就是通过getip这个函数，获得一个值，如果这个值为“1.1.1.1”，返回可以。（3）发现判断中，发现可以通过X-Forwarded-For伪造ip （4）修改请求头（5）获得flag ...

ctf 选择题题库_实验吧CTF题库-WEB题(部分)

weixin_39613548的博客

12-19

1354

看起来有点难提交adminhttp://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login用sqlmap检测是否有注入┌─[root@sch01ar]─[/sch01ar]└──╼ #sqlmap -u "http://ctf5.shiyanbar.com/basic/injec...

网络安全与CTF在线学习资源网站

Dasdwer的博客

08-08

1945

安全参考》http://www.douban.com/group/topic/72383272/ (2013年第一期--2015年第一期)全集。http://security.cs.rpi.edu/courses/binexp-spring2015/ bin 干货区。http://www.secbox.cn/hacker/tools/3552.html 法客论坛2015工具包-第三版。

CTF实验吧-WEB专题-6

qq_43679771的博客

11-14

355

CTF实验吧-WEB专题-6

CTF题库—实验吧（密码学）之围在栅栏中的爱

qq_37992321的博客

11-27

1646

1.看到题目，就可以想到那是摩斯电码，然后我们先用摩斯电码转换过来摩斯密码在线解密： http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx https://www.cryptool.org/en/cto-codings/morse-code 解密后是一串英文代码：KIQLWTFCQGNSOO 2.根据QWE到底等不等于ABC，这个...

CTF题库—实验吧（密码学）之Fair-Play

qq_37992321的博客

11-28

1535

实验吧CTF题库——貌似有点难

weixin_34245082的博客

11-14

880

貌似有点难不多说，我们点开链接看看题目吧。点开链接，我们看到的是这么一个界面，Tips View the source code。（提示我们查看源代码）我们点开View the source code，查看本题的源代码。我们看下面这几行代码 if ($GetIPs=="1.1.1.1") {echo "Great! Key is ...

ctf解题--看起来有点难

qq_36791003的博客

08-06

1014

题目切，你那水平也就这么点了，这都是什么题啊！！！解题链接： http://ctf5.shiyanbar.com/basic/inject 解题安装python环境 sqlmap 安装：https://blog.youkuaiyun.com/youb11/article/details/45719423 使用：https://www.exehack.net/4955.html 查数据库 ...

决斗场 - 实验吧 WEB 貌似有点难

RaAlGhul的博客

12-11

1252

题目链接：http://www.shiyanbar.com/ctf/32 又是一道基本没有提示(节操)的题目，点击链接进去：题目中包含了PHP代码审计，那这里需要观察代码内容。代码中包含了两个部分，一个是得到IP地址的GetIP函数，一个是通过GetIP函数获得的IP验证是否为1.1.1.1的主函数部分。那么这题的思路应该非常的清晰，我们需要想方法使得代码中的GetI

貌似有点难

Gunther的博客

08-31

462

貌似有点难--------------伪造ip <?php function GetIP(){ if(!empty($_SERVER["HTTP_CLIENT_IP"])) $cip = $_SERVER["HTTP_CLIENT_IP"]; else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) $cip = $_SERVER["HTTP_X_F

实验吧--貌似有点难

weixin_43803070的博客

07-20

191

题目中包含了PHP代码审计，那这里需要观察代码内容。代码中包含了两个部分，一个是得到IP地址的GetIP函数，一个是通过GetIP函数获得的IP验证是否为1.1.1.1的主函数部分。那么这题的思路应该非常的清晰，我们需要想方法使得代码中的GetIP函数获得的IP地址为1.1.1.1，我们就能得到flag。好，那么现在我们再来查看这个函数，在这个函数中我们可以这样去进行理解，首先查看是否存在S...

实验吧ctf-web-貌似有点难

n0l的博客

04-02

547

貌似有点难 http://ctf5.shiyanbar.com/phpaudit/ 首先，打开链接如图，提示view the source code, 那就打开看看呗：查看代码通过代码可以发现，后端调用一个名为GetIP的函数，按顺序检查"HTTP_CLIENT_IP"，"HTTP_X_FORWARDED_FOR"和"REMOTE_ADDR"这三个地址，如果其中有一个不为空，那么将...

实验吧貌似有点难

qq_41497476的博客

05-14

211

这个题是一个代码审计题代码如下： <?php function GetIP(){ if(!empty($_SERVER["HTTP_CLIENT_IP"])) $cip = $_SERVER["HTTP_CLIENT_IP"]; else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) $cip = $_SERVER["HTTP_X_FORWA...

CTF实验吧——认真一点！

Iaired的博客

07-06

395

我的第一只小爬虫爆数据库长度 import requests import re import string import threading import time s = requests.session() url = "http://ctf5.shiyanbar.com/web/earnest/index.php" str1 = "You are in" header = { ...

CTF-实验吧Once More

才不是小弱鸡的博客

05-10

1313

题目地址:http://www.shiyanbar.com/ctf/1805这是题目的提示，根据社会工程学的方法找到了ereg的漏洞（其实就是百度。。。）漏洞是ereg函数存在截断漏洞。这里表示输入的password必须是大小写字母和数字这句表示password长度要小于8且大小要大于9999999，这不是自我矛盾嘛嘤嘤嘤。其实这里可以用科学记数法传参，password=1e9就行啦~这句表示pa...

ctf:题目名称：Easy_docx

最新发布

03-22

### CTF Easy_docx 题目解析 #### 背景介绍 CTF竞赛中的`Easy_docx`题目通常涉及文档格式漏洞、隐写术或者数据提取技术。这类题目可能要求参赛者从`.docx`文件中提取隐藏的信息，比如元数据、嵌入对象或其他形式的隐蔽信息。 #### 可能的技术方向 1. **文档结构分析**: `.docx`实际上是一个压缩包，内部包含了多个XML文件和其他资源。通过解压并检查这些文件的内容，可以发现潜在的秘密信息。 2. **隐写术检测**: 使用专门工具（如`steghide`, `binwalk`等）来查找是否存在隐藏层或加密部分。 3. **脚本自动化**: 编写Python脚本来读取和解析`.docx`文件内容，特别是针对特定字段进行扫描。以下是基于上述方法的一个具体实现案例： ```python import zipfile from xml.etree import ElementTree as ET def extract_docx_secrets(docx_file_path): """Extract potential secrets from a .docx file.""" # Open the docx file as a zip archive. with zipfile.ZipFile(docx_file_path, 'r') as z: # Extract all files into memory for processing. extracted_files = {name: z.read(name).decode('utf-8', errors='ignore') for name in z.namelist()} # Look specifically at document.xml which contains main text body. if "word/document.xml" in extracted_files: content = extracted_files["word/document.xml"] # Parse XML structure to find any unusual tags or comments that might contain flags. root = ET.fromstring(content) suspicious_elements = [] for elem in root.iter(): if '{http://schemas.openxmlformats.org/wordprocessingml/2006/main}comment' in elem.tag \ or 'hidden' in elem.attrib.values(): # Example condition based on known patterns [^5]. suspicious_elements.append(elem.text) return "\n".join(suspicious_elements) if suspicious_elements else None result = extract_docx_secrets("example.docx") if result: print(f"Suspected secret found:\n{result}") else: print("No obvious hidden information detected.") ``` 此代码片段展示了如何打开一个`.docx`文件，并从中搜索可疑元素，例如注释或具有特殊属性的标签[^5]。 #### 结论对于`Easy_docx`类型的挑战，建议采用多角度的方法去探索目标文档内的各种可能性。除了直接查看可见文字外，还应关注不可见区域以及任何异常特征。