网址提供了两首歌的下载链接,分别为 http://way.nuptzj.cn/web6/download.php?url=eGluZ3hpbmdkaWFuZGVuZy5tcDM= http://way.nuptzj.cn/web6/download.php?url=YnV4aWFuZ3poYW5nZ ...
分类:
Web程序 时间:
2016-10-09 07:12:34
阅读次数:
196
明显的文件包含漏洞的格式网址,通过php://filter读取index源码-->php://filter/read=convert.base64-encode/resource=index.php 如下 再进行base64解码即可 ...
分类:
Web程序 时间:
2016-10-09 07:10:50
阅读次数:
200
自从开始玩CTF后,发现这个游戏还是比较有意思,发现了一个练习场地IDF实验室:http://ctf.idf.cn/ 刷刷里面的题目,今天完成了其中的牛刀小试,分享一下解题思路: 1. 被改错的密码 题目为: 从前有一个熊孩子入侵了一个网站的数据库,找到了管理员密码,手一抖在数据库中修改了一下,现在 ...
分类:
其他好文 时间:
2016-10-07 17:39:36
阅读次数:
200
要求a!=b,并且md5(a)==md5(b)才显示flag,考察了php特性 PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。 " ...
分类:
Web程序 时间:
2016-10-07 13:51:51
阅读次数:
755
源自一道ctf题 功能:1.page接收参数后组合成变量file。 2.file经过滤..()防止目录遍历和判断文件是否存在 3.包含文件 assert()简介:判断一个表达式是否成立。返回true or false。 当参数为字符串时,会被当作php代码执行。 例如 assert("phpinfo ...
分类:
其他好文 时间:
2016-10-01 17:29:21
阅读次数:
219
在i春秋上注册了账号,准备业余时间玩玩CTF。其中的九月场已经打完了,但是不妨碍我去做做题,现在将一些思路分享一下。 一. 第二场web SQL 根据题目来看是一个SQL注入的题目: 这里推荐两篇文章: sql注入字符绕过方法:http://www.2cto.com/Article/201301/1 ...
分类:
其他好文 时间:
2016-09-30 18:19:44
阅读次数:
826
【技术分享】最新2016华山杯CTF writeup 2016-09-11 13:06:28 来源:安全客-FlappyPig 作者:安全客 阅读:12099次 点赞(3) 收藏(82) 作者:FlappyPig 稿费:700RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投 ...
分类:
其他好文 时间:
2016-09-30 18:09:29
阅读次数:
320
链接: http://www.shiyanbar.com/ctf/54 页面情况 ...
分类:
Web程序 时间:
2016-09-23 20:02:16
阅读次数:
318
因为是搞底层的,平时也不怎么写脚本,所以并不太熟悉python。之前介绍过zio库何pwntools了,这次就来介绍一下关于读取输入输出的编写方法。 struct对于我们这种跟二进制打交道的人来说是极其有用的。 如何接受输出的明文地址? 比如 可以这样来接收 字符串转成数字 如何接受输出的被当成as ...
分类:
其他好文 时间:
2016-09-20 23:44:48
阅读次数:
680
被改错的密码[从格式和长度来推测出是MD5] 迷醉。。人生第一道ctf题?据说是因为看起来像是MD5加密的格式,但是数了一下发现有33个字符,就推测???熊孩子多敲了一位进去。从32个变33个了,然后一个个放这个MD5在线解密的地方http://cmd5.com/去试。。 发现cca9cc444e6 ...
分类:
其他好文 时间:
2016-09-19 19:19:41
阅读次数:
117
