南京邮电大学网络攻防平台WEB题

签到题:

右键查看源代码,得到flag

md5 collision:

传入的a的md5值要为0e开头的,但不能是QNKCDZO,百度一个0e开头的md5

得到flag

签到2:

右键查看源代码

输入框允许的最大长度为10,口令的长度为11

使用hackbar post一下

得到flag

这题不是WEB:

下载图片,用记事本打开

拉到最后,得到flag

层层递进:

是一个网站页面,先扫一下

有个404.html

查看一下源代码,得到flag

AAencode:

这题为javascript aaencode解密题,直接解密,得到flag,工具地址:https://tool.zcmzcm.org/aadecode

单身二十年

右键查看源代码

点击进入,得到flag

php decode:

<?php
function CLsI($ZzvSWE) {

    $ZzvSWE = gzinflate(base64_decode($ZzvSWE));

    for ($i = 0; $i < strlen($ZzvSWE); $i++) {

        $ZzvSWE[$i] = chr(ord($ZzvSWE[$i]) - 1);

    }

    return $ZzvSWE;

}eval(CLsI("+7DnQGFmYVZ+eoGmlg0fd3puUoZ1fkppek1GdVZhQnJSSZq5aUImGNQBAA=="));?>

把eval改为echo,在本地用phpstudy测试一下

得到flag

文件包含:

点进去

用php://filter/读取index.php

构建url:http://4.chinalover.sinaapp.com/web7/index.php?file=php://filter/read=convert.base64-encode/resource=index.php

为base64加密,解密一下得到flag

单身一百年也没用:

开启firebug,在“网络”里查看包

时间: 2024-10-11 06:38:29

南京邮电大学网络攻防平台WEB题的相关文章

南京邮电大学网络攻防平台(NCTF)-MD5-Writeup

南京邮电大学网络攻防平台-MD5-Writeup 题干如下: 分析: 遍历 TASC?O3RJMV?WDJKX?ZM(?替换为其他),找到md5为e9032???da???08????911513?0???a2形式的即可 脚本如下: 1 import md5 2 import string 3 ? 4 dic = string.ascii_letters + string.digits 5 ? 6 for i in dic: 7 for j in dic: 8 for k in dic: 9 s

南京邮电大学网络攻防训练平台(NCTF)-异性相吸-Writeup

南京邮电大学网络攻防训练平台(NCTF)-异性相吸-Writeup 题目描述 文件下载地址 很明显,文件之间进行亦或就可得到flag,不再多说,直接上脚本 1 #coding:utf-8 2 file_a = open('密文.txt', 'rb') 3 file_b = open('明文.txt', 'rb') 4 ? 5 str_a = ''.join(file_a.readlines()) 6 str_b = ''.join(file_b.readlines()) 7 ? 8 ans =

南京邮电大学网络攻防训练平台:密码学:KeyBoard

KeyBoard 100 看键盘看键盘看键盘!答案非标准格式,提交前加上nctf{}ytfvbhn tgbgy hjuygbn yhnmki tgvhn uygbnjm uygbn yhnijm 看一下键盘就有答案了 原文地址:https://www.cnblogs.com/jc12138/p/10012829.html

CTF--web 攻防世界web题 robots backup

攻防世界web题 robots https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5063 百度 robots协议 robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它[1]  .robots.txt是一个协议,而不是一个命令.robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.robots.txt文件

20145237《网络攻防》Web安全基础实践

基础问题回答 SQL注入攻击原理,如何防御: 部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,黑客利用这个bug在数据输入区恶意填入脚本,当数据被传回后台,黑客所填入的脚本语句被运行,使得黑客可以随心所欲的对后台熟即可进行操作: 程序员在编写代码的时候,一定要记得对用户输入数据的合法性进行判断.将存有敏感信息的数据库放在防火墙内部: XSS攻击的原理,如何防御: XSS的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS.是一种网站应用程序

2017-2018-2 20179209《网络攻防》第五周作业

网络攻防之Web渗透 视频学习 数据库评估软件 bbqsql bbqsql是一个Python编写的盲注工具,当检测可疑的注入漏洞时会很有用,同时bbqsql是一个半自动工具,允许客户自定参数. DBPwAudit DBPwAudit是一个数据库用户名和密码枚举工具. HexorBase 图形化的密码破解与连接工具,开源. jsql jsql是一款轻量级安全测试工具,可以探测SQL注入漏洞,它跨平台,开源免费,将存在注入漏洞的URL贴进来即可进行漏洞利用,图形化界面亲民,但使用效果有待提高. MD

20155201 网络攻防技术 实验九 Web安全基础

20155201 网络攻防技术 实验九 Web安全基础 一.实践内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 二.报告内容: 1. 基础问题回答 1)SQL注入攻击原理,如何防御 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. SQL注入攻击的典型手段:判断应用程序是否存在注入漏洞,收集信息

3.24网络攻防选拔题部分write up

20175221  3.24网络攻防选拔题部分write up Q1:百度一下,你就知道 解压题目得到一个文件夹和一个网址 打开文件夹,有三张图片 用winhex和stegsolve查看三张图片,没有发现异常.Kali里面binwalk跑一下,也没有隐藏文件.不太像隐写题,可能是web,将目标移到网址上. 打开网址,F12开发者工具 发现最底下script下的字符串可疑,复制粘贴用base解. 将字符串先转base16,再转base64,得到flag. Q2 解压题目得到一张图片,但是无法打开.

20145306 张文锦 网络攻防 web基础

20145306 网络攻防 web基础 实验内容 WebServer:掌握Apache启停配置修改(如监听端口)前端编程:熟悉HTML+JavaScript.了解表单的概念编写不同的HTML网页,放入到Apache工作目录,从浏览器访问.后端编程:了解GET/POST方法的不同,尝试使用GET/POST方法传输用户在浏览器中的输入,并在后台用PHP读出参数,根据讲出参数的不同,返回不同的内容给浏览器.数据库编程在MySql客户端中练习基本SQL操作:建库.建表.数据增.删.改.查.在PHP中调用