前端技术 夺旗赛 CTF 六大方向基础工具简介集合(MISC,WEB,Crypto,Reverse,Pwn,Mobile) 陈晗 发表于2024-06-26 浏览26219 评论0 一、MISC方向 杂项往往是不能被归到其他类别里的题目,所以什么样的题都有,工具也很杂。 主要的分类有: 1、视频音频图片类 Stegsolve.jar 一款图像隐写工具,支持使用不同方式解除图像隐写,是图像隐写的必备工具。可以破解色道隐写等,需要JAVA环境。 QR_Research.exe 用于扫描二维码,有些题目需要自己准备二维码定位角图用p图工具p上去 Audacity.exe 运行于windows的常用音频隐写工具 outguess(linux) 开源隐写算法,支持
Ruby教程 [SCTF2019]Flag Shop Gxr 发表于2024-06-21 浏览6044 评论0 [SCTF2019]Flag Shop 知识点:Ruby/ERB模板注入 打开容器,是个类似于买东西的界面 有用户的uid,拥有的资金,以及flag的价格 按照之前刷题的经验,会抓包,修改拥有的资金,或者打折,修改些数值什么的 去进行jwt解码,发现这个信息确实和页面回显的是一样的 源码 查看robots.txt,发现/filebak User-agent: * Disallow: /filebak 访问,得到源码 require 'sinatra' r
flask Flask debug模式算pin码(flask debug mode) sufz 发表于2024-06-20 浏览7893 评论0 什么是PIN码 pin码也就是flask在开启debug模式下,进行代码调试模式的进入密码,需要正确的PIN码才能进入调试模式 如何生成 这里就列一个了,前面全是获取值,最后进行加密,版本不同区别也就就是3.6与3.8的MD5加密和sha1加密不同 #生效时间为一周 PIN_TIME = 60 * 60 * 24 * 7 def hash_pin(pin: str) -> str: return hashlib.sha1(f"{pin} added salt".en
restful BUUCTF [极客大挑战 2020] Roamphp1-Welcome Athey 发表于2024-06-16 浏览6277 评论0 考点: POST传参方式 sha1()不能加密数组 启动题目: 等了一阵子,一直是这样,查阅其他wp得知,原题中提示有:换一种请求方式 使用BurpSuite抓去数据包: 将传参方式修改为POST,发送数据包,得到题目源码: error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allowed"); exit(); } else {
Ruby教程 [SCTF2019]Flag Shop——瞧,这是个新来的 YaoYao 发表于2024-06-12 浏览6786 评论0 [SCTF2019]Flag Shop 一.前言 这几天一直有事,导致之前的比赛的WP也没看,然后靶场这方面的学习也没推进下去,终于找了个时间的空挡做了道关于Ruby的模板注入。为了这道题我甚至抽出了我本就不多的时间去学了学Ruby的语法,话说学完Ruby之后,我的感触是他与Python等脚本语言很像,但是它的语法中字里行间都透露着Java等语言的关系。关于这次的SSTI题目,与其他的SSTI有着很大的不同。 二.正文 老样子,我们先看题目 题目的意思很简单就是我们要通过足够的ji
网络安全 CTF全栈指南入门篇 (万事屋小贱) 完整版PDF 星花园站长资源网 发表于2024-06-11 浏览5068 评论0 CTF全栈指南入门篇 (万事屋小贱) 完整版PDF,CTF全栈入门,CTF各类技能精通,web、逆向、pwn、密码学、杂项等等。对新手更加友好,对CTF更加保存热情,感兴趣的可以下载学习
flask BUUCTF 个人做题记录【7-03】 dede58织梦模板 发表于2024-05-28 浏览4801 评论0 目录 1.[De1CTF 2019]SSRF Me 1 2.[极客大挑战 2019]FinalSQL1 3.[CISCN2019 华东南赛区]Web11 1 4.[BSidesCF 2019]Futurella 1 5.[SUCTF 2019]Pythonginx 1 1.[De1CTF 2019]SSRF Me 1 很容易看出是一段代码,整理 #! /usr/bin/env python #encoding=utf-8 from flask import F
flask CTF之路:关于Flask模板注入 Athey 发表于2024-05-28 浏览8272 评论0 1.题目 题目叫Simple SSTI 打开网页,显示.SSTI,即服务器端模板注入。 2.知识点 flask基础 在学习SSTI之前,先把flask的运作流程搞明白。这样有利用更快速的理解原理。 路由 先看一段代码 from flask import flask @app.route(’/index/’) def hello_word(): return ‘hello word’ route装饰器的作用是将函数与url绑定起来。例子中的代码的作用就是当你访问http://12
PHP编程 【CTF】buuctf web 详解(持续更新)(ctfhub web) 木子 发表于2024-05-26 浏览15385 评论0 [HCTF 2018]WarmUp 题目类型:PHP代码审计 查看源码,发现有一个source.php文件 查看此文件,出现一堆PHP代码 发现里面有一个hint.php文件,查看一下 文件里说明flag在ffffllllaaaagggg里 代码审计is_string():检测变量是否是字符串isset():检测变量是否已设置并且非 NULLin_array(要搜索的值,要搜索的数组):搜索数组中是否存在指定的值mb_substr($page,n,m):返回page中从第n位开始