n00bs CTF writeup

这个CTF挑战有点意思,我们来看一下,

首页看上去挺不错的。

Level1

直接F12就可以看到flag了。

flag:infosec_flagis_welcome

Level2

"这个图片看上去坏了,你能检查下吗?"

要是搁我假如玩过Linux的话,就很简单了一个curl命令就能可以查看内容(果然linux大法好)。但是我是windows,有点麻烦?下载下来用UE打开看看咯?不要那样!

直接右键是不能查看源代码的,那就加上view-source:吧。好样的。

看样子是base64加密。。。(我只要看到字符串以=结尾,就以为是base64。。。。)

的确是base64,用firefox的hackbar插件解出来

flag:infosec_flagis_wearejuststarting

Level3

有一个二维码?扫一扫也许有惊喜。。。

由于没有手机,我选择了在线的二维码解析器。解析出来的结果为:

经常看侦探电影里面看到这种电报密码(摩斯码),用自己写的一个小工具就搞定了。(斜眼笑)

flag:INFOSECFLAGISMORSING

Level4

这一关说的HTTP是超文本协议,然后不停的弹窗(然而我点了禁止弹出,所以然并软。。。)

其实这是一个TIP,可以分析下响应头,发现里面有一个参数很可疑。

这里会不会是flag呢。。。。我也不知道。。猜下。。前面几关的flag都有某种规律(正确的说是遵循了格式),都是以infosec(大小写不敏感)开头。

所以里面的vasbfrp是密文,infosec是明文。这样推导就是ROT13,这种加密是以前国外论坛很常见的加密方式。

行动吧,用firefox的hackbar插件验证一下就知道了。

果然,接下来就是逆推出明文了。所谓的ROT13其实感觉就是凯撒密码的一种(移位13)。我的python已经饥渴难耐了~~~

得到shfebqnu=infosec_flagis_welovecookies,shfebqnu估计没什么用。所以flag:infosec_flagis_welovecookies

未完待续。。。。

时间: 2024-12-25 19:01:56

n00bs CTF writeup的相关文章

[ctf分享]最新2016华山杯CTF writeup

[技术分享]最新2016华山杯CTF writeup 2016-09-11 13:06:28 来源:安全客-FlappyPig 作者:安全客 阅读:12099次 点赞(3) 收藏(82) 作者:FlappyPig 稿费:700RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 2016 华山杯 网络安全技能大赛 解题报告 队伍: FlappyPig  Web渗透 0x01 打不过~ 添加type=”submin”,点击提交抓包 有一串字符串,base64->md5,19

20154312 曾林 ExpFinal CTF Writeup

0.写在前面 1.不合理的验证方式 2.加密与解密的对抗 3.一个SQL引发的血案 4.管理员的诟病 5.备份信息的泄露 6.svn信息泄露 7.coding 8.平衡权限的威胁 9.文件上传的突破 10.文件下载的利用 11.include的沦陷 12.include的沦陷(二) 13.exce的沦陷 14.ftp的逆袭 15.ftp的漏洞 16.幽灵的Remote Desktop 17.无法爆破的密码 18.IIS ghost 19.xampp 20.dangerous 445 0.写在前面

南邮CTF - Writeup

南邮CTF攻防平台Writeup By:Mirror王宇阳 个人QQ欢迎交流:2821319009 技术水平有限~大佬勿喷 ^_^ Web题 签到题: 直接一梭哈-- md5 collision: 题目源码提示: $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{********

ctf writeup之程序员密码

起因 在v2ex上看到有人发了一篇帖子,说做了一个程序员小游戏,遂试玩了一下. 游戏的地址在这里: http://www.bettertomissthantomeet.com/pages/level.html 第零关 控制台打印的字符"Hello, world!",复制粘贴通过. 第一关 控制台又打印了一串字符: 看着像base64,拿去解码,得到"I'm a programmer.",复制粘贴通过. 第二关 为毛又是控制台打印- 拿去base64解码,得到&quo

网络安全学习和CTF的一些网站

http://www.sec-wiki.com/skill/ 安全技能(里面渗透逆向编程都有介绍) http://blog.knownsec.com/Knownsec_RD_Checklist/ 知道创宇研发技能表v3.0 综合学习平台: http://edu.gooann.com/ 谷安网校 http://www.jikexueyuan.com/ 极客学院 http://www.hetianlab.com/ 合天 http://www.moonsos.com/ 米安网 http://www.i

Github 安全类Repo收集整理

作者:天谕链接:https://zhuanlan.zhihu.com/p/21380662来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处.刚好这两天对之前github上关注的一些比较有意思的项目进行了一下分类整理,在这里列出来分享给大家,希望能对大家寻找工具或者资源有所帮助. 大部分Repo是关于安全以及Python的,也有一些其他主题的项目,有很多我都没有用过,关于项目的功能概括如果写的有不对的地方,还请大家多多包涵,给予指正. 欢迎组团欢迎一起学习交流!转载请注

Github安全整理(转载)

刚好这两天对之前github上关注的一些比较有意思的项目进行了一下分类整理,在这里列出来分享给大家,希望能对大家寻找工具或者资源有所帮助. 大部分Repo是关于安全以及Python的,也有一些其他主题的项目,有很多我都没有用过,关于项目的功能概括如果写的有不对的地方,还请大家多多包涵,给予指正. 欢迎组团欢迎一起学习交流!转载请注明出处. 链接:http://blog.leanote.com/post/b0ss/Github%E5%AE%89%E5%85%A8%E6%95%B4%E7%90%86

西普实验吧-ctf-web-2

上传绕过 很不错的一种题型,就是文件上传有很多漏洞设法,这里是路径问题,测试发现,不检查类型参数,不检查内容,只检查后缀: 所以文件名怎么都得是".jpg .gif .png"结尾,但是路径/upload可以做文章,用截取包工具,把/upload改成"/upload/xxx.php ",然后在hex里面,把末尾修改成00: 你能跨过去吗 伪XSS题,就是把那个提示的链接: http://www.test.com/NodeMore.jsp?id=672613&

渗透资源大全-整理

漏洞及渗透练习平台: ZVulDrillhttps://github.com/710leo/ZVulDrill SecGen Ruby编写的一款工具,生成含漏洞的虚拟机https://github.com/cliffe/secgen btslab渗透测试实验室https://github.com/CSPF-Founder/btslab WebGoat漏洞练习环境https://github.com/WebGoat/WebGoathttps://github.com/WebGoat/WebGoat