0x00 CTF中的反序列化题目这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。0x01 攻防世界unserialize3题目显示的源码为:class xctf{
public $flag = '111';
public function __wakeup(){
ex
SQL注入题型并没有想象中的那么难,首先一定要有一个明确的思路,本文正是一篇总结思路的文章。
三步法:一、找到注入点二、Fuzz出未过滤字符三、构造payload/写脚本 例题1打开题目: 第一步,寻找注入点。输入用户名123456,密码123456,返回结果username error!输入用户名admin,
转载
2024-05-19 09:28:30
134阅读
# CTF 安恒 Java题解析
在网络安全领域,CTF(Capture The Flag)是一种技术挑战,让参赛者通过解决一些安全题目来提高他们的技能和知识。在这些题目中,Java相关的题目因其广泛应用于企业和互联网环境,备受关注。本文将带你深入了解Java题的常见特征,并提供代码示例帮助你更好地理解。
## 什么是CTF题目?
CTF题目通常分为几个类别,比如逆向工程、漏洞利用、密码学等
# CTF Java分析题:深入了解Java安全漏洞
在现代网络安全领域,CTF(Capture The Flag)比赛因其挑战性和趣味性而广受欢迎。许多CTF题目涉及Java编程语言的安全分析。本文将探讨CTF中Java分析题常见的安全漏洞,并通过代码示例进行详细说明。我们还会用饼状图和表格展示一些关键信息,帮助读者更好地理解这些概念。
## 什么是CTF?
CTF是一种网络安全竞赛,参赛
原创
2024-08-31 09:51:44
300阅读
前言对常见的编码进行总结并记录一些编解码的网站和工具常见编码1、ASCII编码 可以分作三部分组成 第一部分是:ASCII非打印控制字符 第二部分是:ASCII打印字符; 第三部分是:扩展ASCII打印字符在线转换器ASCII编码转换2、base64、32编码Base64是网络上最常见的用于传输8Bit字节码的编码方式之一· 基于64个可打印字符来表示二进制数据的方法
· 3个字节可表示4个可打
转载
2024-04-29 09:53:17
437阅读
在信息安全领域,CTF(Capture The Flag)比赛是一种比拼技术能力和解决问题技巧的挑战,而"ctf架构题"则侧重于系统架构及其相关设计的能力。这类题目不仅要求参赛者具备扎实的技术知识,还需要其灵活应用各种概念,从而构建一个可行的系统架构。本文将对此过程进行详细的复盘记录。
```mermaid
flowchart TD
A[CTF 架构题解析] --> B[理解问题需求]
取,没有栈保护,所以,在read0x34时,可能替换game返回址址,先通过writ...
原创
2023-06-04 12:36:26
831阅读
1.gif因为是一张图片,所以猜想是信息附加所以用010editor打开得到flag{123456}2.png小鳄鱼图片,在得到提示后,得知是要增加图片的高度。一开始一直用010editor编辑,发现无论改成什么图片都无法显示。(再也不相信010editor了)于是用winhex将图片高度提高,保存后得到flag3.png将图片先用binwalk扫描一下看是否能分离于是桌面出现分离后的文件夹点进去
转载
2024-05-25 07:09:09
310阅读
食用简介下面是本人新生赛时遇到的一些RSA密码题,题目名后大概写有类型便于查找 题目较多可以选择性食用1.buuctf RSA题目:在一次RSA密钥对生成中,假设p=473398607161,q=4511491,e=17,求解出d作为flag提交import gmpy2
p,q,e=473398607161,4511491,17
d=int(gmpy2.invert(e,(p-1)*(q-1)))
转载
2023-11-09 17:44:14
1404阅读
Web 151考点:后端无验证,前端校验查看源码可以发现只能上传png图片 修改为php写一个php文件上传一句话木马 可以发现已经成功上传查看上级目录发现可疑文件 查看flag.php文件内容得出flag 得到flagWeb 152考点:绕过前端校验解题思路: 经过一系列的方法测试上题的解题方法并不适用于本题。直接改前端,后端会校验,文件不合格。那就抓
转载
2024-08-12 20:50:05
1067阅读
RSA介绍
根据加密原理,可以将大部分的加密算法分为两大类:对称加密算法和非对称加密算法。对称加密算法的加密和解密采用的是同一套算法规则。而非对称加密算法加密时用的是公钥(公开给所有人),解密时用的是私钥(只有相关人员拥有),非对称加密算法中使用最广泛的就是RSA算法。RSA算法非常可靠,密钥越长,就越难破解。当今互联网中已经纰漏的破解方法是针对768位密钥。所以一般认为1024位的密钥加密是安
转载
2024-01-26 21:39:59
76阅读
这一阶段我们将会开始接触逆向(REVERSE)类的题目题目:第一题是WELCOMEBACK的一个文件找到通过软件校验的flag,之后做md5sum填入flag{}里面就是flag了(有点绕)比如你找到了软件要校验的flag是“I LOVE YOU”echo "I LOVE YOU" | md5sum然后得到一个md5值,填入flag{}里面就是flag了(有些Terminal无法识别的话,可以写个
概述解除CTF也有很多年了,但是真正的将网上的题目通关刷题还是没有过的,同时感觉水平下降的太厉害,这两个月准备把网上目前公开有的CTF环境全部刷一遍,同时收集题目做为素材,为后面的培训及靶场搭建做好准备。本文是2018年7月8日前所有密码类的题目通关Writeup。Writeup变异凯撒加密密文:afZ_r9VYfScOeO_UL^RWUc
格式:flag{ }解题过程分这几部分,首先afZ_r9
转载
2023-11-28 13:36:03
54阅读
CTF萌新,尝试叙述解决题目的操作和思路,以加深对这些类型题目的印象和熟练程度。题目1题目信息如下: 解题思路:(1)打开题目附属文件,结果展示如下: 获得密文和一条提示信息,此处还不知这条提示信息为什么,接着往下走。(2)在题目标题获悉:吉奥万·巴蒂斯塔·贝拉索先生在百度搜索相关信息,得知: 与其相关的密码名为维吉尼亚密码,打开编码工具进行解码,结果如下: 
转载
2024-07-07 13:39:35
156阅读
很多java报错在我们渗透的时候经常会被发现,但由于没什么用,危害比较低被忽略,开发也很不愿意修改。但从纵深防御的角度来说,多个小问题的结合就会产生严重的问题。此次遇到的一个ctf题就是一个例子。 题目来自 [RoarCTF 2019]Easy Java进入题目后就是一个登录页面 一顿爆破得到用户名/密码 admin/admin88
转载
2023-06-27 21:12:59
78阅读
部分有的是网上搜集的,有的是自己写的 ctf零宽字符查找二进制转二维码basebase异或base隐写加密(py2)base隐写解密(py2)1-5位的crc32碰撞将十进制数写入文件中usb流量键盘流量鼠标流量转字符二进制转字符八进制转字符十进制转字符hex转字符bmp的lsb隐写TTL隐写仿射密码将图片内容上下翻转傅里叶变换批量读取压缩包autokey(py2)在线
转载
2023-12-23 18:21:34
33阅读
一、什么是CTFCTF是Capture The 二、CTF竞赛模式(一)、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。 (二
转载
2024-03-08 19:28:17
247阅读
进去main函数后一顿分析。rc4加密,随机数异或,base64换表。按照提示的时间2021.1.23 4:56:00 进行 srand(seed), 搞出来的结果不对。 后来又给了提示fini。 在fini函数交叉引用一下,发现在start函数后,(_libc_start_main)(main, ...
转载
2021-08-11 19:20:00
1128阅读
2评论
翻译:赵阳在过去的两个星期里,我已经在DEFCON 22 CTF里检测出了两个不同的问题:“shitsco”和“nonameyet”。感谢所有的意见和评论,我遇到的最常见的问题是:“我怎么才能在CTFs里开始?”在不久前我问过自己一样的问题,所以我想要给出些对你追求CTFs的建议和资源。最简单的方法就是注册一个介绍CTF的帐号,如CSAW, Pico CTF
一、 web题sql注入打开链接,启动靶场又是常见的登陆界面,话不多说,尝试sql注入。常规动作,先简单输入1,以及1' 判断是字符型还是数字型数字型,属于正常的回显字符型就有了报错提示,说明查询语句中存在单引号,即此处存在字符型注入。构造语句继续注入:1' or '1'='
