ctf总结

  在过去的一个学期中,草人在西普学院还有一些其他安全夺旗网站上刷了一些题,草人我是菜鸟一个,刚开始很是苦恼,所以经历过以后希望将之分享给一起学习安全的同学,目的呢是希望以后学习的人能尽快理清学习思路,进而提高到另外一个层次。

  一开始是打算多谢写模块的,结果到了真正开始写的时候呢,只想写WEB模块了,不多说,通过实例来吧——

  1.

  

  打开链接后,草人都习惯先查看网页源代码

  

  看到这样就链接到index.txt——http://ctf1.simplexue.com/web/4/index.txt,结果得到如下

  

  所以输入“’ or 1=1 ) --”(--后需要空格才正确,PHP的解释为“ – ”)注入,提交后成功。

  写到这里,要说声抱歉,因为都是之前做的,所以这儿草人不想再一一重复,便附上之前的报告,可在草人的百度网盘上下载http://pan.baidu.com/s/1jGrLElS。

  另外关于隐写术草人推荐http://drops.wooyun.org/tips/4862([email protected]乌云知识库,隐写术总结)。还有关于学习ctf(如何开始你的CTF比赛之旅)http://www.freebuf.com/articles/others-articles/36927.html也是值得一看。

时间: 2024-08-12 00:47:46

ctf总结的相关文章

CTF学习之CODE

今年,国内各种CTF比赛应接不暇,第一次参加CTF是因为百度举办的BCTF.当时和几个好友一起参加了,过程相当的有趣,因此走上了这条不归路. CTF真的是很考验脑力的一个东西,题目涉及的范围相当之广,每次参加CTF我都有一个很强烈的感受:知识完全不够用,还是关掉浏览器滚回去好好学习! 今天,又是SCTF开赛,排行榜上各种大神我等只能膜拜,决心好好学习,系统的学一下,今天先从CODE开始. 我想,在CTF里面比较常见的要属摩斯码了.就是由点和横线组成的特殊符号串.如下图: 图中已经给的很清楚了,对

CTF中常见Web源码泄露总结

.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用: 工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因: 在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等.在发布代码的时候,把.git这个目录没有删除,直接发布了.使用这个文件,可以用来恢复源代码. e.g. http

记录实验吧 CTF库 who are you? 过程

首先我承认我看了别人怎么做的 因为我并没有什么经验虽然知道回显是由X-Forwarded-For 参数导致的 但一直无法利用 所以看了demo因为涉及到要写脚本记录注入过程 所以特此记录我看了2个demo选择了最直接的一个也就是使用awvs扫描 然后再python扫 因为我觉得我并没有手工找注入点的本事 先学学利用工具 虽然别人写了用awvs 但是开始不管怎么扫描都是扫描不出来  后来..一个简单的办法原来是这样  附图: 好简单  然后发现了果然是可以注入的 好像是基于的时间延迟 可惜没系统学

CTF中那些脑洞大开的编码和加密

0x00 前言 正文开始之前先闲扯几句吧,玩CTF的小伙伴也许会遇到类似这样的问题:表哥,你知道这是什么加密吗?其实CTF中脑洞密码题(非现代加密方式)一般都是各种古典密码的变形,一般出题者会对密文进行一些处理,但是会给留一些线索,所以写此文的目的是想给小伙伴做题时给一些参考,当然常在CTF里出现的编码也可以了解一下.本来是想尽快写出参考的文章,无奈期间被各种事情耽搁导致文章断断续续写了2个月,文章肯定有许多没有提及到,欢迎小伙伴补充,总之,希望对小伙伴们有帮助吧! 0x01 目录 1 2 3

Sharif University CTF 2016 -- Login to System (PWN 200)

EN: It's easy to find out where is the bug : .text:0000000000400DE4 ; void *start_routine(void *).text:0000000000400DE4 start_routine   proc near               ; DATA XREF: sub_401182+C8o ... .text:0000000000400F3B                 lea     rcx, [rbp+h

CTF的简单题解题 1

这是去IDF实验室做的CTF题:http://ctf.idf.cn/index.php 一.被改错的密码 一看,被修改的密码有33位.只有l不是16进制的,所以把l去掉,然后用md5在线解密就可以解除密码是idf 二.啥? 有种技术叫数据隐写,比方将数据藏在图片的编码里... 用16进制查看器就好了,把图片拉进去...从ASCII码中找到答案了..就在最后 用的HxD 也可以直接右键用记事本打开图片,在最后也会看到答案 三.红与黑 这个只需要改一下图片的亮度和色调就能看出图片底下黑色部分显示的答

西普ctf解题思路——《貌似有点难》

           学校最近准备办一场网络攻防夺旗赛,不说话,找了西普的平台练练.有些题挺有意思的,决定把思路写下.. 题目链接:http://www.shiyanbar.com/ctf/examctfdetail/32 点进去,发现提示IP不在允许列表内, 于是审查源代码,发下猫腻. 可以看出代码的意思.如果IP在1.1.1.1.那么就能拿到key.于是就让我们想到了一款强大的火狐插件.可以伪造IP.所以接下来的思路就是使用Firefox插件 modify header 伪造IP.就这么愉快

CTF线下攻防赛

SSH登陆 两三个人进行分工,一个粗略的看下web,有登陆口的话,就需要修改密码,将情况反馈给队友,让登陆ssh的小伙伴进行密码的修改,改成炒鸡复杂.然后将Web目录下载下来,上WAF.文件监控.端口扫描.将这几个工作分工好,顺序就像图上. tips:将下载下来的Web目录理一遍,看是否有可疑的文件夹,比如bak. 网络拓扑 主机发现 如果是在同个C段,或者B段,均可以使用RouterScan进行对80端口扫描进行扫描得出,嫌麻烦的话,就用httpscan(https://github.com/

那些年做过的ctf之加密篇(加强版)

MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,abbr,acronym,address,big,cite,code,del,dfn,em,img,ins,kbd,q,s,samp,small,strike,strong,sub,sup,tt,var,b,u,i,center,dl,dt,dd,ol,ul,li,fieldset,form,label

那些年做过的ctf之加密篇

最近ctf做的比较多,顺便整理一下做个笔记,大概有加密篇.隐写篇.逆向破解和web方向的几篇文章,整理出来之后会陆续发出来. Base64: ZXZhbCgkX1BPU1RbcDRuOV96MV96aDNuOV9qMXVfU2gxX0oxM10p NTU2NJC3ODHHYWJIZ3P4ZWY= Base64编码要求把3个8位字节(3*8=24)转化为4个6位的字节(4*6=24),之后在6位的前面补两个0,形成8位一个字节的形式. 如果剩下的字符不足3个字节,则用0填充,输出字符使用'=',因