rapid7/metasploitable3 CTF摘要
rapid7/metasploitable3俗话说,没图说个JB。我专门做了个图以供欣赏,做图技术可能有点糙,见谅见谅。2016年11月,rapid7发布了metasploitable3,以后简称MSable3,区别于metasploit简称MS。我现在发布是有点过气,但不影响我对他的热衷。它MSa...
ctf题库--上传绕过
<题目>bypass the upload格式:flag{}解题链接: http://ctf5.shiyanbar.com/web/upload 通过<过程>1.打开题目链接要求上传文件,先新建一个test.txt的空白文件上传。反馈的信息是只允许传以上三种"图片"类型。2....
CTF 二维码[MISC]
题目地址:https://buuoj.cn/challenges#%E4%BA%8C%E7%BB%B4%E7%A0%81图片分析下载下来一个压缩包,压缩包里只有一张二维码试着扫描:secret is here,很明显flag就在这个压缩包里(不然在哪里…)hexdump查看分析很明显,二维码中还隐藏...
记一次明文攻击+盲水印 ctf题目
题目链接 http://pan.baidu.com/s/1slDhhvf 密码:vroj解压出来是这样的warmup里是这样的:看着像两个一样的open_forun.png 想到明文攻击,将open_forum.png压缩,然后使用ARCHPR的明文攻击,结果报错了:在选定的档案中没有匹配的文件。。...
CTF学习HTTP协议--Cookie伪造
0x01 基础铺垫题目关键词Cookie欺骗、认证、伪造简述某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计 算机暂时或永久保存的信息。简单理解就是网站系统验证用户身份的凭证或者说“钥匙”。0x02 WriteUp题目展示分析1.题目和Co...
ctf 内存取证的一些命令
内存取证相当于给出镜像文件,一般为.raw文件,在这些文件中找出相应的文件常用命令在kali下用工具volatility,以湖湘杯的文件men.raw为例查看系统信息volatility -f mem.raw imageinfo如下显示的系统都有可能,可以一个个的试试查看运行程序列表volatili...
流量分析-CTF题目实战
本文原创作者: 一叶飘零原创投稿详情:重金悬赏 | 合天原创投稿等你来!前记最近准备了一个流量分析的课题,于是搜集了一些题目本篇文章为第一篇:流量分析-CTF题目实战后续会继续撰写:流量分析-企业渗透案例题目1打开流量包即可看到解码得到user:[email protected]passwd:FLA...
CTF 题型 SSRF攻击&例题总结
CTF 题型 SSRF攻击&例题总结 文章目录 CTF 题型 SSRF攻击&例题总结Server-side Request Forgery 服务端请求伪造SSRF的利用面1 任意文件读取 前提是知道要读取的文件名2 探测内网资源3 使用gopher协议扩展攻击面Gopher协...
CTF入门web篇17命令执行相关函数及绕过技巧讲解
命令注入和代码注入区别之前我们讲过的都是代码注入,注入的代码相当于网页中新的代码,比如去执行数据库读取的操作,我们想办法插入一段代码去执行,这就是代码执行。命令注入命令注入执行的是系统中的命令,使目标服务器的命令在目标服务器上去执行我们想要执行的命令,系统命令的执行还是要基于某些函数的调度去实现的。...
CTF网络安全竞赛签到题
CTF签到题F_签到题是一张file3.jpg图片解题方法:1.打开kali虚拟机,用binwalk -e file3.jpg得到txt文件2.打开flag3.txt,是:ZmxhZ3t1dTRzY250cHV3Mjl9,联想到base643.用网站https://base64.supfree.ne...
CTF平台题库writeup(三)--BugKuCTF-杂项(1-20题详解)
一、BugKuCTF-杂项(1-20)1、签到题扫描二维码直接获取flag2、这是一张单纯的图片http://120.24.86.145:8002/misc/1.jpg(1).启蒙级隐写术 linux下保存到本地当作文本文件cat一下(或记事本、winhex等打开)cat 1.jpg...
CTF解题技能之MISC基础
杂项介绍Miscellaneous简称MISC,意思是杂项,混杂的意思。杂项大致有几种类型:1.隐写2.压缩包处理3.流量分析4.攻击取证5.其它本篇主要介绍杂项基础题目的知识点以及解题思路。0x00 文件类型识别杂项题目主要是以文件附件作为题目,但是给的文件不一定是有后缀名的,这就需要我们识别这些...
Misc小白详细解题攻略——附加(i春秋ctf夺旗赛(第四季)wirteup)
原文出处:https://www.jianshu.com/p/7946d98ad2f4前言:这次参加了i春秋ctf夺旗赛,misc类型一共有两道题。在这里跟大家分享一下解题步骤以及思路。第一道题,XImg下载文件解压后,得到一张png图片这道题考察是图片隐写。图片隐写是misc常见的题型之一,接下来...
ctf web方向与php学习记录18之文件上传(2)
一,MIME 类型 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Basics_of_HTTP/MIME_types 大家可以自行浏览 浏览器通常使用MIME类型(而不是文件扩展名)来确定如何处理URL,因此Web服务器在响应头中添加正确的MIM...
180214—【CTF】隐写:JPHS
JPHS下载移步信息隐藏软件JPHS适用于JPEG图像,在Windows和Linux系统平台针对有损压缩JPEG文件进行信息加密隐藏和探测提取的工具。软件里面主要包含了两个程序JPHIDE和JPSEEK, JPHIDE程序主要是实现将信息文件加密隐藏到JPEG图像功能,而JPSEEK程序主要实现从用...
CTF条件竞争
目录简介个人理解实例漏洞修复参考简介条件竞争是指一个系统的运行结果依赖于不受控制的事件的先后顺序。当这些不受控制的事件并没有按照开发者想要的方式运行时,就可能会出现 bug。尤其在当前我们的系统中大量对资源进行共享,如果处理不当的话,就会产生条件竞争漏洞。个人理解通俗的来讲就是假设程序同时处理存钱和...
CTF-后台登陆 WP
登陆地址:http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php直接没有登陆,右键查看源代码发现问题:<!-- $password=$_POST['password'];$sql = "SELECT * FROM admin WHERE userna...
CTF-变异凯撒 WP
加密密文:afZ_r9VYfScOeO_UL^RWUc题目提示了,肯定要从凯撒密码入手。 1.先从密码本身开始,去掉下划线,凯撒密码解密测试下没有有用的信息。2.从 afZ_r9VYfScOeO_UL^RWUc 来看,发现有几个特别的地方 这个下划线貌似代表将密文进行了分割,根据凯撒密码...
CTF-Misc-wireshark软件解题的基本使用与操作;
软件的下载大家可以参考我的另一篇博客:https://blog.csdn.net/weixin_45556441/article/details/109864690软件的使用本人以CTF查找flag的形式进行说明;操作1:查找flag快捷键Ctrl+F注意箭头的参数;点击查找,有时候要多点几次才能查...
CTF-web Linux中几个关键的文件
有些时候,我们遇到可以文件包含读取linux文件的题目,在flag不在根目录,不在标准目录,需要我们去找的时候,有些文件就显得比较有意义。通过读取系统的这些关键文件,我们可以找到蛛丝马迹,从而找到flag的藏身之地,当然,最关键的是,我们需要知道linux中有哪些比较关键的,有用的文件。下图是lin...