随笔分类 -  8_CTF

CHIMA网络安全攻防大赛经验分享
摘要:比赛模式 第一轮:20分钟基础知识赛(50道题) 安全运维,法律法规,linux操作系统等 第二轮:50分钟CTF夺旗(5道题) 题目涵盖 密码学 运用多种工具,如ASCII对照,古典密码,凯撒密码,栅栏密码,BASE64,莫斯解密等等对各类变形加密的符号文字等进行解密,提交答案 WEB题 运用多种 阅读全文
posted @ 2019-10-12 13:35 17bdw 阅读(2986) 评论(0) 推荐(0) 编辑
upload-labs 上传漏洞靶场环境以及writeup
摘要:一个帮你总结所有类型的上传漏洞的靶场 https://github.com/c0ny1/upload labs 靶场环境(基于phpstudy这个php集成环境) https://github.com/c0ny1/upload labs/releases upload labs 上传漏洞靶场的解题方 阅读全文
posted @ 2019-08-30 11:25 17bdw 阅读(765) 评论(0) 推荐(0) 编辑
代码安全审计工具
摘要:免费版本 0×01 PHP代码审计 1、RIPS https://sourceforge.net/projects/rips scanner/, 0×02 Java代码审计 findbugs 代码安全:findsecuritybugs FindSecurityBugs是Java静态分析工具FindB 阅读全文
posted @ 2019-08-15 18:28 17bdw 阅读(3044) 评论(0) 推荐(0) 编辑
【CTF WEB】XSS-https://alf.nu/alert1
摘要:XSS练习平台 https://alf.nu/alert1 Warmup Adobe JSON JavaScript Markdown DOM Callback Skandia Template JSON 2 阅读全文
posted @ 2018-10-10 15:28 17bdw 阅读(897) 评论(0) 推荐(0) 编辑
【CTF WEB】反序列化
摘要:反序列化 漏洞代码 写一个php的脚本,执行得到一串序列化后字符串,生成的代码是不会在浏览器直接显示的,需要查看源码才能看到完整内容。 测试方法 阅读全文
posted @ 2018-09-29 14:04 17bdw 阅读(2422) 评论(0) 推荐(0) 编辑
【CTF WEB】服务端请求伪造
摘要:服务端请求伪造 如你所愿,这次可以读取所有的图片,但是域名必须是www开头 测试方法 得到key的base64,解码就拿到key了。 阅读全文
posted @ 2018-09-29 14:02 17bdw 阅读(1200) 评论(0) 推荐(0) 编辑
【CTF WEB】命令执行
摘要:命令执行 找到题目中的KEY KEY为八位随机字符数字,例如key:1234qwer。提交1234qwer 即可。 漏洞代码 测试方法 阅读全文
posted @ 2018-09-29 14:01 17bdw 阅读(2038) 评论(0) 推荐(0) 编辑
【CTF WEB】函数绕过
摘要:函数绕过 测试方法 阅读全文
posted @ 2018-09-29 14:01 17bdw 阅读(751) 评论(0) 推荐(0) 编辑
【CTF WEB】文件包含
摘要:文件包含 题目要求: 请找到题目中FLAG 漏洞源码 测试方法 http://localhost/?file=php://filter/read=convert.base64 encode/resource=flag.php 解开base64就能拿到key了 阅读全文
posted @ 2018-09-29 14:00 17bdw 阅读(1379) 评论(0) 推荐(0) 编辑
【CTF WEB】GCTF-2017读文件
摘要:读文件 只给了个1.txt可以读,试了一下加 不行,感觉不是命令执行,"../"返回上级目录也不行,猜测可能过滤了什么,在1.txt中间加上"./"发现仍能读取,说明"./"被过滤了,构造payload,在上级目录的flag.php的注释里读到flag 测试方法 阅读全文
posted @ 2018-09-29 13:59 17bdw 阅读(777) 评论(0) 推荐(0) 编辑
【CTF MISC】文件内容反转方法-2017世安杯CTF writeup详解
摘要:Reverseme 用winhex打开,发现里面的字符反过来可以正常阅读,所以文件被倒置了 Python解题程序如下 with open('reverseMe','rb') as f: with open('flag','wb') as g: g.write(f.read()[::-1]) 将获取的 阅读全文
posted @ 2018-03-27 15:28 17bdw 阅读(4443) 评论(0) 推荐(0) 编辑
【CTF REVERSE】WHCTF2017-CRACKME
摘要:1、前言 假装大学生水一下CTF题目,常规思路。程序没有加壳,是VC写的MFC程序。 2、破题思路 1、MessageBox 下断点 2、找到提示错误字符串的函数B 3、跟踪函数 4、跟踪算法 3、实现过程 PEID查询无壳,进IDA查看字符串。 得到这个字符串的一个存放地址,向上跟踪到有这个字符串 阅读全文
posted @ 2017-10-19 17:59 17bdw 阅读(858) 评论(0) 推荐(0) 编辑
【CTF REVERSE】ctf02-查找字符串
摘要:1、前言 公司大拿给写的一个CTF逆向程序,提升我们组内人员的水平。 2、思路 程序用IDA查看的时候,因为有壳混淆后是没法跟下去的。这道题比较简单,破解还是常规思路。。。 1)手动脱UPX壳 2)IDA查找字符串,获取信息 3)跟踪调用的函数 3、过程 1、脱壳 UPX是一款常用的压缩壳,单步跟踪 阅读全文
posted @ 2017-10-17 23:21 17bdw 阅读(1384) 评论(0) 推荐(0) 编辑
【CTF MISC】隐写术wireshark找出图片-“强网杯”网络安全挑战赛writeup
摘要:这场CTF中有一道题是分析pcap包的。。 13.大黑阔: 从给的pcap包里把图片提取出来,是一张中国地图。 题目提示是黑阔在聊天,从数据里可以找出几段话。 思路:主要考察wireshark的过滤规则与熟悉度。 如果熟悉发送数据包的格式截取特定的字符串 "[{'" ,就能找出聊天记录了,也可以通过 阅读全文
posted @ 2016-12-11 00:49 17bdw 阅读(1926) 评论(0) 推荐(0) 编辑
【CTF WEB】ISCC 2016 web 2题记录
摘要:偶然看到的比赛,我等渣渣跟风做两题,剩下的题目工作太忙没有时间继续做。 第1题 sql注入: 题目知识 做题过程 第一步:注入Playload 第二步:注入效果 第三步:获取源码,得知用户名为flag,使用注入出的密码登录可得到flag 相关源码 http://101.200.145.44/web1 阅读全文
posted @ 2016-05-17 01:00 17bdw 阅读(4135) 评论(0) 推荐(0) 编辑
【跨站关】网络信息安全攻防学习平台跨站过关的彩蛋
摘要:第12题:XSS基础关 题目知识 XSS基础:很容易就可以过关.XSS类题目必须在平台登录才能进行.登录地址请参考左侧 做题过程 key 第13题:XSS基础2:简单绕过 题目知识 很容易就可以过关.估计是过滤了就可以出现key key is: xss2test2you orgAlert = win 阅读全文
posted @ 2016-02-23 21:39 17bdw 阅读(1377) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示