2026年3月
ctfshow——元旦水友赛
摘要: MISC 以假换真 html文件下载得到hedan.jpg,与链接里的hetao.png不符。 16进制查看压缩包,在开头看到快压的标识,下载快压打开压缩包,能看到hetao.png。 kali分析png文件,存在zip压缩包,分离出来。 解压需要密码,但是其中的hedan.jpg文件和从html文 阅读全文
posted @ 2026-03-15 18:48 死不悔改奇男子 阅读(2) 评论(0) 推荐(0)
ctfshow——Web应用安全与防护
摘要: 第一章 Base64编码隐藏 查看源代码,base64解码拿到flag。 HTTP头注入 查看源代码,获取密码登录,提示需要用ctf-show-brower浏览器。 修改UA头,获得flag。 Base64多层嵌套解码 查看源代码,找到判断逻辑。 const correctPassword = "S 阅读全文
posted @ 2026-03-13 21:35 死不悔改奇男子 阅读(21) 评论(0) 推荐(0)
西电CTF平台——NewStar CTF 2025
摘要: Week1-Misc Sign in 直接复制粘贴即可。 EZ_fence 打开图片,一串字符串rdh9zfwzSgoVA7GWtLPQJK=vwuZvjhvPyyvjnMWoSotB。 随波逐流一键解码,没有合适的结果。再看题目,说图片是残缺的,肯定有东西被隐藏了,找到代表宽高的字节改大一点。 打 阅读全文
posted @ 2026-03-11 13:55 死不悔改奇男子 阅读(32) 评论(0) 推荐(0)
2025年10月
西电CTF平台——Moectf 2025 WriteUP
摘要: 从此开始 签到 在提示中拿到flag。 安全杂项 Misc入门指北 adobe打开pdf,搜索moectf,选中它,直接复制文本就能得到flag。 moectf{We1c0m3_7o_tH3_w0R1d_0f_m1sc3111aN3ous!!} ez_LSB kali的zsteg命令拿到flag的b 阅读全文
posted @ 2025-10-14 21:39 死不悔改奇男子 阅读(1173) 评论(0) 推荐(1)
2025年7月
西电CTF平台——Mini L-CTF 2025 WriteUP
摘要: Misc 吃豆人 游戏要求玩到大于5000分的时候才会给出flag,查看源代码有个/static/game.js,关键代码如下。 如果分数大于等于5000,并且hasGotFlag值为False,就会向/submit_score接口发出一个POST请求,得到的响应内容就是flag。搜索hasGotF 阅读全文
posted @ 2025-07-20 18:52 死不悔改奇男子 阅读(2) 评论(0) 推荐(0)
西电CTF平台——TGCTF 2025 WriteUP
摘要: crypto AAAAAAAA·真·签到 根据题目描述很容易能想到凯撒密码。 凯撒枚举解密一下。 不是原始的,是一种凯撒密码的变形,根据flag的开头为TGCTF,就可以推算出偏移量为-1,0,1,2....。编写脚本还原。(只对大写字符进行偏移,其他字符不变) base = -1 cipherte 阅读全文
posted @ 2025-07-20 11:31 死不悔改奇男子 阅读(863) 评论(0) 推荐(0)
西电CTF平台——NPC²CTF 2025 WriteUP Misc篇
摘要: Week1 - Misc r!g!b! 拿到图片一看,大概率就是lsb隐写了,用zsteg secret.bmp --all命令查看,发现有个压缩包。 zsteg -e b8,rgb,lsb,xy secret.bmp -> flag.zip导出压缩包,有一个flag.docx文件,虽提示文件损坏, 阅读全文
posted @ 2025-07-13 10:14 死不悔改奇男子 阅读(612) 评论(0) 推荐(0)
西电CTF平台——NewYear CTF 2025 WriteUP
摘要: Misc 猜谜 sublime text打开,第一反应肯定是零宽字符隐写,不过试了好久都没有结果。再看字符的规律,只有<0x2004>、<0x2005>、<0x2006>三种,,猜测有没有可能是摩斯密码,一个代表.,一个代表-,一个代表/。转换一下..../....-/.--./.--./-.--/ 阅读全文
posted @ 2025-07-12 18:41 死不悔改奇男子 阅读(637) 评论(0) 推荐(0)
js逆向实战之某龙贷登录参数加密
摘要: 声明:本篇文章仅用于知识分享,不得用于其他用途 网址:aHR0cHM6Ly93d3cuZWxvYW5jbi5jb20v 加密逻辑 点击登录,输入用户名和密码看触发的数据包。 password经过加密处理,由于这几个参数名都比较常见,全局搜索肯定会有很多结果,不好定位,所有这里选择搜索url。 只有一 阅读全文
posted @ 2025-07-12 11:36 死不悔改奇男子 阅读(239) 评论(0) 推荐(0)
js逆向实战之某恩思登录参数加密
摘要: 声明:本篇文章仅用于知识分享,不得用于其他用途 网址:aHR0cHM6Ly93d3cuNTFkbnMuY29tLw== 加密逻辑 输入用户名和密码登录,触发的数据包如下,所有的传参都是加密过的。 全局搜索email_or_phone,总共13处,不过有一处非常明显,包含了所有要的参数。 打断点,触发 阅读全文
posted @ 2025-07-12 10:04 死不悔改奇男子 阅读(137) 评论(0) 推荐(0)
下一页