随笔分类 - CTF相关知识,刷题记录
摘要:SWCTF write up By wysng 靶场id:wysng 总分3775 rank2 web方向 0x01 别踩白块 典型的游戏题,看到提示超过110分给flag,玩了一会儿觉得我大概玩不到110,于是右键看了看源码,没啥发现,大概率就是前端拦截修改了,于是f12直接来改就行了 上面给了直
阅读全文
摘要:2022DASCTF X SU 三月春季挑战赛赛后复现 web篇章 ezpop 打开题目直接是源码,源码如下 <?php class crow { public v2; function eval() { echo new this->v2); } p
阅读全文
摘要:web信息泄露相关内容 基本操作 0,打开相关网站查看信息 1,右键查看网页源代码观察信息 2,F12打开开发者工具观察信息,查看有无js前台拦截 4,尝试bp抓包,看看请求和响应报文 6,扫描网站,dirmap,dirsearch,御剑都是不错的选择 相关注释未删除 网站作者在开发时一些敏感的注释
阅读全文
摘要:Web攻击(xss与sql注入)靶场复现 0x00靶机的安装与使用 实验靶机采用的是owasp broken web apps靶机,这里直接给出下载链接 https://sourceforge.net/projects/owaspbwa/files/ 我们进入网站直接选择download lates
阅读全文
摘要:1.12 buuctf逆向基础题目 1.easyre 打开程序就一个黑框,输入东西也没有反应 直接ida打开 在这个汇编逻辑框里就能看到flag了,也可f5查看伪代码得到 2.reverse1 打开题目要求输flag,随机输了几个数字直接关闭程序了 老样子打开ida分析 一开始没找到啥有用的东西,s
阅读全文
摘要:unctf2021部分wp 1,rejunk 下载程序并运行,随机输入几个数提示length error,拖进idapro找到main函数后f5查看伪代码,根据题目提示垃圾代码混淆与逆向异或运算可观察得到关键的两行 我们可以看到几个字符串,这就是关键语句,分析容易得知将v9(从0开始循环的数与fla
阅读全文
摘要:11.12攻防世界两道web基础题 1weak_auth 打开链接得到一个登录界面,随机输入东西得到如下 可以知道用户名为为admin,可用不让拍爆破密码,因为是弱密码,不妨进行枚举 观察length容易知道,123456为密码,故输入用户名密码得到flag 2webshell 打开链接得到 由于提
阅读全文
摘要:Hackergame2021—中国科学技术大学第八届信息安全大赛(旅行照片) 题目:旅行照片 分类:基础社工 题目为如下照片 并注明该图片未在互联网上发布,要求正确输入拍摄方位,在一天中的时间,左上kfc的电话,拍摄楼层以及左上kfc旁边的三个中文大字。 思路:根据其基本特征,上网搜索关键词(我搜的
阅读全文
摘要:攻防世界web基础题目 robots 这个我熟悉,招新赛第一道web就试过哈哈哈,主要考察robots.txt(一种常见协议)加入后缀robots.txt得到如下 于是,重新将后缀加上php那串东东得flag index.php 上来就问我知不知道index.php的备份文件名称 我肯定不知道啊 开
阅读全文
摘要:Bugku中web基础题目 计算器 打开发现一个加法,但只可以输入一位,故f12修改源代码即可 后得到正确计算得到flag 滑稽 直接查看源代码就爆出来了(眼睛都闪瞎了) 图片如下 Get 打开得到下面一串php 意思是what=flag即爆出来flag,故添加后缀?what=flag即可 post
阅读全文