随笔分类 - CTF
摘要:YAPI远程执行漏洞复现 实验靶机 BUUCTF :题目 ezrce 漏洞详情 YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YAPI使用mock数据/脚本作为中间交互层,其中mock数据通过设
阅读全文
摘要:pwn 题目fb 练习平台:http://pwnable.kr/play.php 首先根据提示 用ssh连接 pwnable.kr 2222 网址和端口 fd 用户 guest passwd 登陆成功 查看文件目录 发现有三个文件 看见flag我上去就是直接打开 但是 提示 没有权限 cat fla
阅读全文
摘要:练习平台ctfshwo web1 首先打开题目地址看到源码进行分析 <?php # 包含数据库连接文件 include("config.php"); # 判断get提交的参数id是否存在 if(isset($_GET['id'])){ $id = $_GET['id']; # 判断id的值是否大于9
阅读全文
摘要:打开之后的界面是 审查元素 之后有个跳转页面 直接跳转 然后 真狗 继续跳转 结果没看明白 尝试bp抓包试一下 发现 有东西 看到代码 进行分析 <html> <title>secret</title> <meta charset="UTF-8"> <?php highlight_file(__FI
阅读全文
摘要:CRYPTO(fanfie) 老规矩下载附件 是文本: 很明显想base64,但是解码失败 说明不是base64 想了很多种加密 但是还是瓦了! 百度是个好东西 看大佬写的wp是base32加密 和防射加密解密 根据过程 首先 将 BITSCTF 进行base32进行加密 得出 IJEVIU2DKR
阅读全文
摘要:play fair加密 解密 来源: 经莱昂·普莱费尔提倡在英国军地和政府使用。 它有一些不太明显的特征:密文的字母数一定是偶数;任意两个同组的字母都不会相同,如果出现这种字符必是乱码和虚码。 它使用方便而且可以让频度分析法变成瞎子,在1854到1855年的克里米亚战争和1899年的布尔战争中有广泛
阅读全文
摘要:攻防世界-CRYPTO新手训练(03-07) 003.Morse 下载附件得到0和1的代码 大致一看肯定是摩斯电码 直接百度 找一个在线解压器 1是- 0是. 所以直接转换 成一段英文 换成 题目要求 转换成小写 然后得到flag提交 004 幂数加密 下载附件 一看都是2的倍数 这一块我也不是太了
阅读全文
浙公网安备 33010602011771号