首页 > TAG信息列表 > XCTF

XCTF-web新手区

前言 刷题平台:攻防世界 web简介 WEB是CTF竞赛的主要题型,题目涉及到许多常见的WEB漏洞,诸如XSS、文件包含、代码执行、上传漏洞、SQL注入。还有一些简单的关于网络基础知识的考察,例如返回包、TCP-IP、数据包内容和构造,以及信息收集。 fileclude 开启靶机,首先发现给出了源码 通

XCTF分站赛ACTF——Crypto

impossible RSA: 没啥好说的,跟我之前文章有道题类似,虽然如此还是花费了很长时间,原因令人落泪,把q = inverse(e,p)的数学式写成了eq mod p导致数学式推导及其困难(能推但无用) 解题脚本: #coding:utf-8 from Crypto.Util.number import * import math n = 159875761393418887886488630

XCTF APP1

题目地址:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5085 下载下来apk之后,拖入jadx 在MaiActivity类发现,需要两个条件可以通过 第一个: inputString.charAt(i) != (versionCode.charAt(i) ^ versionName   versionCode与versionName异或再与

4.9 CTF练习随笔

4.7 攻防世界,MISC 题目 ext3 题目 (xctf.org.cn) 打开题目后,先观察提示,题中提到了Linux光盘,猜测可能与Linux系统有关,去搜索了关于ext3的有关内容,得知为Linux挂载,通过挂载后得到编码。先写出我的几点解题思路: 方案一:先将附件拖入winhex中,搜索得到flag.txt 得知该附件为压缩文件,通过

攻防世界之Web_unserialize3

题目:  直接给源码,审计代码,又是一题反序列化的。传送门:反序列化漏洞 【原理】 PHP反序列化漏洞:执行unserialize()时,先会调用__wakeup()。 当序列化字符串中属性值个数大于属性个数,就会导致反序列化异常,从而跳过__wakeup()。 解题思路: 1.打开题目,进行代码审计,可以看到xctf类只拥有

xctf攻防世界 MISC高手进阶区 黄金六年

1. 进入环境,下载附件 题目给的一个视频文件,黄金6年,看完视频后深深觉得程序员的技术栈不容易啊!!! 然后,每一只张图片都飞快的闪过,怀疑有隐藏信息。。。 2. 问题分析 视频信息提取 使用pr打开文件,一帧一帧的过一下,发现有东西。 扫出来key: i 扫出来key:want 扫出来key:play 最

【XCTF 攻防世界 web 练习详解系列(一)】【view_source的三种解法】

目录 view_source题目链接题目描述知识点如何让右键有效——禁用javascript?开发者工具的使用 题解方法1方法2方法3 view_source 题目链接 题目描述 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 知识点 如何让右键有效——禁用javascri

【xctf-reverse】六六六

开始分析 用64位ida打开 shift f12 搜索字符串 看到 .rodata:000000000000203D 0000001A C flag{This_1s_f4cker_flag} 提交下发现不是flag 双击跳转到调用该数据的函数 f12反编译 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [sp+0h]

攻防世界xctf,Misc杂项,easycap。

附件下载下来。。 用wireshark打开(别说你电脑里没有哦,没有就去度娘那里下载)    鼠标右键,选择追踪tcp流。  直接出flag。

xctf view-source

打开网页得到如下界面,第一反应就是右击查看网页源代码 但是会发现无论怎么右键都不会出现弹窗   从题目下手,百度view-source,原来ctrl+u就可以啦!  或者还可以像这样:(当然快捷键更方便啦~~) 简简单单flag 到手

XCTF-Re-高手进阶区

​ 文章目录 006-GUess-The-Number042-76号-Obfuse-类型43-APK-逆向044-Newbie_calculations045-Windows_Reverse2.exe 006-GUess-The-Number java环境配置反正就一个安装罢了…其余的真的没什么了 “这里的cmd操作” 输入 java -jar 路径 参数 jd-gui-1.6.6.jar 可以

XCTF练习题---MISC---hong

XCTF练习题---MISC---hong flag:BCTF{cute&fat_cats_does_not_like_drinking} 解题步骤: 1、观察题目,下载附件   2、下载文件后发现是一个.mp3的音乐文件,打开无法运行,放在Winhex和Audacity中并找不到有价值的信息,直接上Kali的binwalk   3、经过文件分析发现存在两个Jpeg的图片

XCTF 攻防世界 WEB练习题1-5

1、view_source  进入在线场景发现无法通过鼠标右键查看源代码,我们可以直接按F12键打开开发人员工具,即可查看网页源码 2、robots robots协议: robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它 。robots.txt是一个

xctf-crypto-幂数加密

   1.看题目    幂数加密不应该是二进制码,怎么又是4又是8的             百度百科复制的二进制加密,也比较好理解       二进制幂数加密法   二进制幂数加密法,由于英文字母只有26个字母。只要2的0、1、2、3、4、5次幂就可以表示31个单元。通过用二进制幂数表

攻防世界-web:unserialize3

题目描述 暂无 题目截图 根据题目名称,应该就是php反序列化。 解题思路 class xctf { public $flag = '111'; public function __wakeup() { exit('bad requests'); } } 根据代码,猜测code的参数即提交反序列化字符串。 我们发现xctf类存在__wakeup函数,而wakeup函数是反序列

xctf-pwn-高手进阶区-Aul

heap 查得Lua是个脚本语言 执行系统命令语言如下 os.execute("/bin/sh")

黑客技术的网站(❤️可以自学,建议收藏❤️)

直接上干货: 目录          一、HackingLoops 二、XCTF_OJ 练习平台 三、SecurityTube(网络很慢,但是内容很精致) 一、HackingLoops 【https://www.hackingloops.com/】 这是一个博客网站,主要面向初级水平的黑客,网站上有许多非常有用的工具以及检验分享,包括渗透测试、测试实

XCTF-NaNNaNNaNNaN-Batman

先把附件下载下来,然后打开,mac自动打开方式是浏览器打开 看到一个输入框,怀疑是sql注入,提交内容按按钮没反应 然后检查元素,看到有乱码  然后本人不会了,太菜了,看别人的WP。 附件下载下来用sublime查看,终于看到了别人所说的”正常“的乱码。 eval()改为alert(),用浏览器打开,弹窗显示

XCTF-WEB新手题day2

backup 难度系数:1 题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 解题工具:谷歌浏览器 解题思路: 第一步:输入场景给的网址http://220.249.52.133:33803/得到这样一个界面 第二步:index.php的备份文件名有.git、.svn、.bak、.swp等,一个个

XCTF-WEB新手题

view_source 难度系数:1 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解题工具:谷歌浏览器、burpsuite 解题思路:1、打开场景,按F12键 2、也可以使用burpsuite解密 robots 难度系数:1 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了

13、XCTF simple_js

小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开网站就是让我们输密码,那就输呗, 他说我FAUX PASSWORD HAHA, 那应该就是输错了呗。 F12源码,发现了一串代码 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,8

XCTF练习题---MISC---适合作为桌面

XCTF练习题—MISC—适合作为桌面 flag:flag{38a57032085441e7} 解题步骤: 1、观察题目,下载附件 2、拿到题目以后是一张图片,切换一下通道,发现一张二维码,使用QR进行翻译 3、 上QR进行解析,发现一串字符串,感觉有点像十六进制 4、果断上Winhex,将其翻译成ASCII码,查看到如下细节 5

2.xctf robots

题目:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 打开网站是空白的,直接访问,http://111.200.241.244:58883/robots.txt。 发现了一个可以爬取的文件,f1ag_1s_h3re.php,直接访问http://111.200.241.244:58883/f1ag_1s_h3re.php,得到flag。

攻防世界Web高手进阶区WP(unserialize3)

unserialize3 打开环境,是一段代码 function用于声明函数 PHP 的魔术方法函数 由上图可知,__wakeup()方法如果使用就是和unserialize()反序列化函数结合使用的,但是在题目代码中并没有序列化字符串。于是,我们这里实例化xctf类并对其使用序列化(这里就实例化xctf类为对象a) <?

php反序列化-unserialize3

目录unserialize3-php反序列化unserialize3 unserialize3-php反序列化 unserialize3 环境地址:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4821&page=1 打开代码 class xctf{ public $flag = '111'; public function __wakeup(){ exi