2019年9月7日
代码审计和动态测试——BUUCTF - 高明的黑客
摘要: 根据题目提示,访问http://2ea746a2-0ecd-449b-896b-e0fb38956134.node1.buuoj.cn/www.tar.gz下载源码 解压之后发现有3002个php文件,而且大部分文件都是垃圾代码,解读不了。 观察之后发现存在_GET 和 _POST,于是通过脚本进行 阅读全文
posted @ 2019-09-07 17:29 seven昔年 阅读(602) 评论(0) 推荐(0) 编辑
有关于服务端模板注入(ssti攻击)——BUUCTF - easy_tornado
摘要: 打开题目出现3个链接 /flag.txt 中提示flag in /fllllllllllllag /welcome.txt 中提示 render /hints.txt 中提示 md5(cookie_secret+md5(filename)) 直接访问/fllllllllllllag失败。 百度了re 阅读全文
posted @ 2019-09-07 14:46 seven昔年 阅读(968) 评论(0) 推荐(0) 编辑
堆叠注入——BUUCTF-随便注
摘要: 由题目提示知道,这题需要进行sql注入 输入1'发现报错 再输入1';show batabases#出现了一大堆数据库 再输入1';show tables#出现了两个表 猜测flag在这2个表中,输入1';show create table `1919810931114514`;尝试打开表1,发现 阅读全文
posted @ 2019-09-07 13:47 seven昔年 阅读(927) 评论(0) 推荐(0) 编辑
2019年7月28日
记一次phpmyadmin 4.8.1 远程文件包含漏洞(BUUCTF web)
摘要: 题目很简单,一个滑稽 打开源码,发现存在source.php文件 于是访问文件,发现出现一串php源码 提示存在hint.php,于是访问发现一句话 flag not here, and flag in ffffllllaaaagggg 再回过头来观察source.php明显是一道代码审计的问题,其 阅读全文
posted @ 2019-07-28 18:27 seven昔年 阅读(620) 评论(0) 推荐(1) 编辑
2019年7月7日
周末小练习
摘要: 第一道是MISC,来自实验吧的九连环 打开题目地址发现了一张图片,看样子应该是隐写题,于是直接binwalk 果然里面存在压缩包,于是尝试用foremost把压缩包分离出来 但是在解压的时候出现了问题,解压前显示 但解压之后,qwe需要密码,jpg图片信息变成了0B,猜测密码肯定和图片有关 于是陷入 阅读全文
posted @ 2019-07-07 23:45 seven昔年 阅读(219) 评论(2) 推荐(2) 编辑
2019年7月4日
第十二届全国大学生信息安全竞赛总结与反思
摘要: 虽然国赛已经过去有一段时间了,但是一直没有时间对题目进行总结反思,利用暑假这段时间,开始进行一下这个工作。 首先是MISC,这次的题目让我猝不及防,因为题目需要用到Saleae Logic进行数据分析,但是我从来没有接触过这个,所以一时间乱了阵脚。 Saleae 这题给了一个"saleae.logd 阅读全文
posted @ 2019-07-04 22:36 seven昔年 阅读(412) 评论(0) 推荐(2) 编辑
2019年4月7日
sql注入学习心得与sqlmap使用心得
摘要: 做题是最好的老师 首先先来分享一下我用来练手的题目,实验吧中的简单的sql注入1,2,3 不得不说,sql注入真是一个神奇的东西,至少我以前看起来一点头绪都没有的题目能入手了 首先是简单的sql注入3(别问我为什么不是1) 打开链接之后发现 陷入沉思,这时候我决定使用sqlmap对他进行sql注入 阅读全文
posted @ 2019-04-07 17:09 seven昔年 阅读(1118) 评论(1) 推荐(1) 编辑
2019年4月2日
2019“嘉韦思”杯RSA256题目wp
摘要: 首先我们从网站下载了一个压缩包,解压出来一看里面有2个文件 首先我们先打开fllllllag康康,结果发现是一串乱码,这时候第一反应就是,文件被加密了,再看fllllllag下面的gy.key文件,更加确定了我的想法,于是让我们再打开gy.key康康 BEGIN PUBLIC KEY MDwwDQY 阅读全文
posted @ 2019-04-02 14:30 seven昔年 阅读(552) 评论(1) 推荐(0) 编辑
2019年3月30日
上周日选拔题部分write up
摘要: 恢复内容开始 第一题。平淡无奇的签到题,“百度一下,你就知道”,打开之后会弹出一个百度的网页页面。网页题第一步,先查看它的源代码。从上往下看,发现了这样一行字 看起来有点像base编码,于是从网上寻找base解密,发现base64解密无效,于是尝试进行base32解码,发现还是不行,再进行base1 阅读全文
posted @ 2019-03-30 11:17 seven昔年 阅读(193) 评论(1) 推荐(1) 编辑
2019年1月12日
获奖感想和python学习心得
摘要: 一,获奖感想 很荣幸能成为小黄杉的获得者,也很感谢老师对我的这份鼓励和期望。回顾本学期的python学习中,我从一名对编程一无所知的小白,成为一名刚入门的程序猿。首先,我要感谢我的任课老师娄嘉鹏老师,是他引领我走进了python的大门。同时,我也很感谢信安协会的学长学姐们,他们每周都会给我们上课,教 阅读全文
posted @ 2019-01-12 12:03 seven昔年 阅读(2437) 评论(0) 推荐(0) 编辑