青少年CTF-Web-CheckMe01

最新推荐文章于 2025-05-03 17:40:07 发布
最新推荐文章于 2025-05-03 17:40:07 发布
阅读量1.9k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 青少年CTF平台 Web CTF-WP 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zxsctf/article/details/127224872
本文介绍了一道名为CheckMe01的简单题目的解题过程。通过分析PHP代码,得知需要提交经URL编码和Base64编码后的特定字符串作为Key。最终找到了正确的Flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目描述


半颗星的简单题,CheckMe01
启动题目,并访问。

解题过程


访问题目页面,提示我们需要输入一个Key。
随便输入一个值,发现出现了一些代码。

我们仔细阅读代码,来了解这段代码是干什么的。

点击查看代码 
<?php
if(!empty($_POST['key'])){
    $keys = $_POST['key'];
    show_source("index.php");
    $keys = base64_decode(urldecode($keys));
    if(strlen($keys)==6){
        if($keys=="qsnctf"){
            print("<p>You win!</p>");
            include("flag.php");
            print($flag);
        }
    }
    else{
        print("末心:大漏特漏!此乃九年义务教育漏网之
最低0.47元/天 解锁文章
青少年CTF-Web-Easy PingMe攻略
小苏
11-30 1172
分号字符,决定使用这个符号进行操作,经过这条命令可以得知本目录下还有一个文件名为【flag.php】,猜测flag就在该文件中,所以使用【1.1.1.1;这是因为他是php语言,且将flag赋值在了变量中,并没有将它进行输出!第二步:开始尝试注入,先测试是否会过滤一些字符之类的操作 这里以【1.1.1.1;见怪不怪了,尝试【CTRL+U】查看源代码看看是否有什么东西出现!end:遇到命令注入的可以尝试【;前言:根据题目意思得知该题目为命令执行【命令注入】第一步:启动靶场,然后打开链接查看原型。
青少年CTF - Misc - 上号 Wp WriteUp
zxsctf的博客
10-01 2103
发现最下方访问8000端口的网页的时候,请求了shanghao.zip,我们可以通过http对象窗口进行导出。010Editor打开,在文件末尾发现qsnctf的字眼,怀疑是某种密码。我们尝试使用steghide工具,进行解密,得到了flag.txt。平台名称:青少年CTF训练平台(原中学生CTF平台)声明:题目为平台原创,如需搬运请告知平台负责人。工具:Wireshark、steghide。文件->导出对象->http对象。下载附件,发现是一个流量包。打开后得到一个jpg图片。导出之后得到压缩包。
[ACTF2020 新生赛]Include 1
qq_51553814的博客
08-01 1604
[ACTF2020 新生赛]Include 1 首先看题目信息有个关键字include,我们就应该能猜到这题的主要考点是文件包含 进入靶场 一进去,就让我们点击,那么我们就点击瞅瞅吧 果然不出所料,url上面显眼的‘file=’就是我们想要的文件包含漏洞 以开始以为flag在其他漏洞,我先用file=php//input,再Post传参 但是当url后面接上file=php://input时,就直接给我返回了hacker页面,看来服务器是对input过滤了 那么就换一个方式,先用file=php:/
[青少年 CTF] CheckMe01
piggcs的博客
04-03 247
分析该源码,我们需要传入字符串”qsnctf” 的 base64 加密字符串。“qsnctf” base64编码得到 “cXNuY3Rm”回到输入框输入cXNuY3Rm,有一个输入框,随便输入点什么。
青少年ctf练习平台--做题wp(1)
最新发布
RanQ的博客
05-03 471
界面为终端页面,flag一般在主路径下,我们使用cat 查看文件cat /flag。
青少年ctf CheckMe01~08
qq_44640313的博客
01-09 1416
qsnctf CheckMe01~08的wp
青少年ctf web 超简单 include01
weixin_69830800的博客
06-07 523
我们直接使用data方案往里面传入恶意代码,并被当作文件被include包含并执行。file里面一旦有flag字出现就寄了。然后ctrl+f查找就完事儿。看看代码,是文件包含的题目。里面把参数是file。
青少年CTF_WEB
cfy2401926342的博客
01-17 567
青少年CTF_WEB
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
青少年CTF - Web - Flag在哪里 Wp WriteUp
zxsctf的博客
10-01 4775
在标签中的title标签下方,就有被注释的flag。flag是动态的哦,同学们要自己好好做题!启动环境,需要等待大概20秒左右的时间。访问,页面显示Flag反正不在这。平台名称:青少年CTF训练平台。右键网页,发现无法使用右键。题目名称:Flag在哪里?
CTF---Web入门第一题 what a fuck!这是什么鬼东西?
weixin_33919941的博客
10-15 233
what a fuck!这是什么鬼东西?分值:10 来源: DUTCTF 难度:易 参与人数:7942人 Get Flag:3358人 答题人数:3475人 解题通过率:97% what a fuck!这是什么鬼东西? 解题链接:http://ctf5.shiyanbar.com/DUTCTF/1.html 原题链接:http://www.shiya...
[青少年CTF]Web-CheckMe01-04 writeup by q1jun
ShangYaoPaiGu的博客
11-29 1980
在是科学计数的语法,0e后面不管多大都是0。那说明还可以通过日志来解析PHP语句。字符进行base64编码才能使。这里通过0e截断可以做到,因为。但是还是可以读取到文件,比如。这题把php伪协议过滤了。然后再通过文件包含漏洞访问。只能为数字,然后他们各自的。值如果想等就输出flag。还是文件包含题目,相比于。语句的http请求来写入。来拦截请求包,修改里面的。php伪协议可以查看到。
[青少年CTF] easy_web 详解+避坑
明裕学长的博客
03-13 5133
这里坑就来了我们需要使用hackbar先进行一次post传递搭配burp抓包。希望小伙伴们可以一步一步的复现而不是直接填flag那样是没有效果滴!注意这里的回显结果不能出现md5 is funny ~发现它经过了两次base64编码和一次十六进制编码。我们反向操作一波查看index.php的源码。这里可以将img=删除因为我们已经绕过了。这里的%20是url编码是空格。下面在搭配../进行目录遍历。接着我们将post参数替换成。这让我联想到地址栏中的参数。下面我们进行了l\s绕过。解开后发现是图片源码。
Web青少年CTF擂台挑战赛 2024 #Round 1 wp
uuzeray的博客
03-01 2893
好家伙,比赛结束了还有一道0解web题是吧(随缘写点wp(简单过头,看个乐就好)
[青少年CTF]Web—Easy CheckMe1-8 by 周末
个人文章分享
12-03 2654
web部分CheckMe1-8,仅供参考
青少年CTF训练平台 Web-Easy PingMe02
xingjinhao123的博客
10-22 1725
青少年CTF训练平台 Web-Easy PingMe02
青少年CTF训练平台 Web-Easy Web签到
xingjinhao123的博客
10-17 1588
青少年CTF训练平台 Web-Easy Web签到
青少年CTF平台-Web-PingME
zxsctf的博客
10-09 1632
题目难度一颗星,五十分。
[ACTF2020 新生赛]Include1
anyhowanywhere的博客
09-26 357
[ACTF2020 新生赛]Include1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值