南邮 ctf wp

本文解析了三道CTF挑战题目,涉及PHP与shell代码理解、文件包含漏洞利用及网络响应分析。通过实战案例展示了如何利用在线工具进行代码调试,如何通过URL参数实现文件内容的base64编码读取及解码,以及如何通过抓包分析发现隐藏的Flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 

这题主要就是考察对PHP和shell的理解,在网上找一个PHP的在线代码运行就好https://tool.lu/coderunner/,执行的时候发现有错误,也告诉你哪错了,仔细分析一下就出来了。eval()函数会执行括号里面的语句,这种代码在现实中一般是某个黑客上传的一句话马,但在这里eval里面肯定就是flag了,将eval改成echo即可

flag:nctf{gzip_base64_hhhhhh}

2.

这题已经给了提示说是文件包含,这个我也不是很会百度做题,就看了一下文件包含是什么鬼,也参考了大佬们的wp.

https://blog.youkuaiyun.com/xg_ren/article/details/79040414

这篇文章讲的还算详细关于文件包含的看了应该就可以做出来了,直接就在URL中添加?file=php://filter/read=convert.base64-encode/resource=index.php读取base64,

然后base64解密就OK了。

flag:nctf{edulcni_elif_lacol_si_siht}

3.

看到这个题是不是很眼熟昨天写过一个叫单身20年的题233333既然是熟题还是一样的方法,看源代码,看了并没有什么发现,并且也点进去给的超链接了

并没有发现flag,嗯直接bp上吧,抓包看看,不错看了一下response结果接发现了flag,233333开心

flag: nctf{this_is_302_redirect}

 

 

 

 

 

 

 

 

 

 

 

### HackerOne CTF Write-up HackerOne平台上的CTF竞赛通常会吸引众多安全研究人员参与,这些参与者会在赛后撰写详细的Write-up来分享解题思路和技术细节。这类Write-up不仅有助于参赛者回顾比赛过程中的技术挑战,也为其他学习者提供了宝贵的学习资源。 对于寻找特定于HackerOne CTF的比赛Write-up,建议访问一些知名的网络安全博客、论坛以及个人主页。许多参赛选手会选择在自己的博客上发布详细的解题报告[^1]。此外,像FreeBuf这样的中文信息安全社区也经常会有用户分享来自不同CTF赛事的Write-up,包括HackerOne举办的活动。 为了更高效地找到所需的资料,可以利用搜索引擎并加上关键词组合,例如:“site:hackerone.com CTF writeup”,这可以帮助定位到官方发布的任何相关文档或公告;也可以尝试搜索“HackerOne CTF 解题报告”以获取由国内爱好者撰写的中文版本解析。 除了在线资源外,在GitHub仓库中也能发现大量关于各种CTF比赛(含HackerOne)的Write-up集合。开发者们习惯将自己的研究成果整理成项目形式存放在那里供他人查阅和交流。 ```python import requests from bs4 import BeautifulSoup def search_writeups(platform, event_type="CTF"): query = f"{platform} {event_type} writeup" url = "https://www.google.com/search?q=" + "+".join(query.split()) response = requests.get(url) soup = BeautifulSoup(response.text, 'html.parser') links = [] for item in soup.find_all('a'): link = item.get('href') if platform.lower() in link and "hackerone" in link: links.append(link) return links[:5] links = search_writeups("HackerOne") for i, link in enumerate(links, start=1): print(f"{i}. {link}") ``` 此Python脚本提供了一个简单的例子,用于自动化搜索可能含有HackerOne CTF Write-up链接的过程。请注意实际应用时需遵循各网站的服务条款,并考虑使用API接口或其他合法途径获取数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值