MISC-隐写的总结这周做了几个隐写题,感觉非常有趣。看了许多大佬的博客,最终才完整的做完这些隐写题。为了加深自己的理解,还是有必要总结一下的。毕竟学以致用,学以会用!!解隐写题的一般思路:首先看看图片是不是图种然后使用binwalker分析图片,如果是有文件合成,分离有时信息藏在备注中工具stegsolve编程分析1、LSB隐写简介:LSB(英文 least signi...
前言暑假前,为了学习Web题,做了攻防世界的新手区的Web题,当时没有总结,现在总结一下。正文Web1:view_source查看源代码,右键不可以用。所以按F12,直接查看源码即可。Web2:get_postHTTP的两种请求方式GETGET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中)如:/test/1.php?name1=value1&name...
安恒月赛7月-MISC wp前言今天安恒月赛,和最近一部热剧有一点点关系。而我就做出了两道MISC题,还是写一下Write Up。。。。MISC1:真正的CTFer在哪?!下载解压题目文件,发现一张图片用binwalk分析一下,并没有隐藏文件查看图片详细信息,没有隐藏东西。然后看了下图片宽高(分辨率),并用winHex打开发现,高度不一致将分辨率转换成16进制,0500应...
前言上周参加了一个线上赛。有个Web题的WriteUp说是任意文件下载。由于之前没学过,所以就没有想到。现在学习一下为什么产生任意文件读取与下载漏洞一些网站的业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源文件,敏感文件等等。
Github-Hexo的搭建这几天由于团队下发了一个任务,需要搭建一个github-hexo个人博客。第一次听到这个任务,你是不是有点懵,反正当时的我是特别懵。由于从没有搭建过一些东西,想着是不是特别有趣?于是在浓厚好奇心的驱使下,我开启了自学模式,学习一些大佬的搭建经验和讲解。
前言Linux使用过程中经常遇到一些问题,于是总结一下。一、ubantu不显示和不能用本地ip解决方法:sudo dhclient ens33sudo ifconfig ens33二、ubantu
Web前端-CSS篇学习CSS之后,感觉对Web前端又有了更深一步的理解。学习总结了许久,总算把学习笔记写完了,顿觉一阵轻松!!学习过程中,虽然有些枯燥,但最终的收获却很多很多。下面便是我的CSS的学习笔记,自我认为还行~~一、CSS定义和三种用法1、CSS:层叠样式表负责页面内容的样式标签的属性产生的问题:浏览器麻烦,需要改很多对开发人员:复杂,难维护解决方法:通过标...
0x00 前言题目整体来说不太难,毕竟是个新生赛。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC、Crypto和Web。
一次团队内部比赛经历经过这次登录框被多数人打爆的经历,我反思了很多。由于当时为了快点写好登录框,没有考虑对登录框的SQL注入进行预防。在写登录框制作总结时,也发现了自己登录框存在的漏洞,但是没有去改。。。最终导致这一惨剧的发生!!!
HTTP协议基础 因为想要学习抓包工具的使用,而抓包抓到是HTTP头流量包(有点看不太懂),所以学习了一点HTTP协议的相关基础知识。。。。 一、初识HTTP协议 1、HTTP协议是什么 HTTP(Hypertext Transfer Protocol)中文“超文本传输协议”,是一种为分布式,合作式,多媒体信息系统服务,面向应用层的协议,是Internet上目前使用最广泛的应用层协议,它基于传输层
前言又做了几道攻防世界的Web题,总结一下。Web1:Cat题目没提示。点开题目,以为是命令执行。然而几番尝试后,发现并不是。。。其它也没什么提示,没思路了。偷瞄大佬博客然后我开始复现,?url=%80产生报错,找到绝对路径。从配置文件settings.py的报错中查看database的相关信息?url=@/opt/api/api/settings.py?url=@/opt...
Crypto-移位编码前言学习了解了一下简单的移位编码,于是做题总结了一下Crypto1:困在栅栏里的凯撒看到题目,应该和凯撒密码和栅栏密码有关。所以做题之前先了解一下栅栏密码和凯撒密码栅栏密码栅栏密码是一种简单的移动字符位置的加密方法,规则简单,容易破解。栅栏密码的加密方式:把文本按照一定的字数分成多个组,取每组第一个字连起来得到密文1,再取每组第二个字连起来得到密文2……最后把...
Web开发-PHP基础篇(三) 又继续学习了PHP的学习教程,正则表达式、日期与时间、图像处理、文件与目录操作和会话控制。感觉都十分重要,于是在学习中做了认真总结,总结如下 一、正则表达式 1、正则表达式语法规则 描述了一类字符串的特征,然后通过这个特征可以配合一些特定的函数,来完成对字符串更加复杂的一系列操作! 普通字符和特殊字符组成的一个字符串 如: $a='/test/'; $str=
XSS漏洞攻关(二)前言之前已经总结过一部分xss的一些绕过方式,但由于其他原因没有总结完,现在有时间了,于是参考了大牛的博客,继续总结了一下。正文XSS攻击常见利用方式(后续)7.HTTP头流量包注入这一部分需要抓包改包,还好之前学习了点HTTP协议基础。就再次了解下BurpSuite怎么抓包改包就行了。参考博客:Burpsuite拦截并修改request/responseL...
前言之前已经通过sqli-libs攻关的方式,总结过SQL注入的简单注入和双注入。所以这次继续通过sqli-libs攻关的方式总结SQL注入的布尔盲注和时间盲注。正文...
1、目录操作命令1.查看当前目录命令:pwd命令提示符由哪几部分组成:命令名 [选项][参数]2.查看目录命令:ls -alls -l 长格式显示ls -a 显示所有文件(包含隐藏文件)ls -alls -h 以常用单位显示文件大小ls -d 只显示目录,不显示目录下子文件ls -i 显示文件 inode 号ls -l 文件名隐藏文件名特点:文件名前面都有个带点的符号;显...
前言这几天闲来无事,学习了下Hexo的博客速度优化,发现有好多方法。CDN加速、coding部署、gulp压缩、
Web开发-简单BBS论坛 开发了两周的bbs论坛系统,总算在上周完成了,并且已经把项目文件上传到github上了。[我的bbs]。。。 开发完之后,感觉对sql语句、mysql函数和PHP代码有了深刻的理解。同时了解了开发流程。。好像收获很多耶!!!总结一下吧。。。 大致思路 需求 浏览者有浏览任何版块、任何帖子以及任何回复的权限,并且任何浏览者都有注册成为本论坛的用户的权限。 注册用户比浏览者
今天尝试学习使用phpstudy中的mysql,让我受益颇深。所以把学习和练习过程记录了一下,首先是数据库的创建,其次是在MySQL命令行对数据增、删、改、查的练习,最后是用cmd打开phpstudy中的MySQL,以及增删改查练习。要注意的是,phpstudy中默认账户密码都是root,只在文件中把密码改了是没有用的。在此之前,我们需要了解一下什么是数据库和mysql。数据库就是存储数据的仓库
、
Scri...
前言 做了几道i春秋的Web题,所以总结一下。 Web1:爆破-1 题目提示:某六位变量。查看题目,发现是代码审计 <?php include "flag.php"; $a = @$_REQUEST['hello'];//以get或post传入hello,并赋值给`$a` if(!preg_match('/^\w*$/',$a )){//正则表达式^匹配一行的开头,$表示结束。\w表示匹配
本文首发于先知社区 0x00 前言 想学XXE漏洞,XXE(XML External Entity Injection) 全称为 XML 外部实体注入。XML?!发现我不会,简单看了一下基础知识,发现XML还可能存在XML注入和XPath注入。那就把XML注入、XPath注入和XML 外部实体注入一起学习了吧! 0x01 XML 什么是 XML?XML 指可扩展标记语言(EXtensible M
0x00 前言 上周参加了第二届BJD CTF,本Web dog太垃圾,就做出两道Web。不过还好MISC和Crypto做的还行。那就先总结复现一下。标*表示未作出的 0x01 MISC 这个做的还行,不过有三道未做出(其中一道是mikutap。听,然后找按键盘进行对应,这个就算了,不想做),好了开始复现 最简单的misc-y1ng 就是简单的文件头填充。看到IHDR,很明显想到png图片。添加
0x00 前言0x01 安装docker1、验证是否安装curl验证是否安装了curlwhich curl如果没有安装则进行安装sudo apt-get updatesudo apt-get install curl2、使用官方脚本自动安装dockercurl -fsSL https://get.docker.com/ubuntu/|sudo sh或curl -fsSL h...
前言 前段时间发现了一个界面精美的CTF平台-H1ve,发现它是在CTFd的基础上进行美化的。然后,我们团队的lemon搭建了一下,由于某些原因不能用了(服务器到期)。于是我参考其搭建笔记又搭了一遍,发现了几个新的问题。继续总结一下搭建过程及所可能遇到的问题吧。。。 0x00 搭建环境 Centos 7 64位(其他版本暂未测试)Dockerpython2.7 0x01 搭建流程 1、服务器
2020上海大学生网络安全赛MISC题WP 前言 MISC 可乐加冰 MISC pcap analysis MISC pcap MISC 签到 前言 昨天参加了上海大学生网络安全赛,MISC题全部AK,Web题就做出一道。我果然够菜,都不好意思说自己是学Web的。最让我记忆尤新的是我竟然拿了MISC 可乐加冰的一血,学PWN的队友chumen77也拿了一个PWN题的一血(可能
ISCC-MISC做题总结本小白又来总结了。。虽然做题做的非常菜,但还是总结一下吧。总结一下做题思想,让自己能够不断提高。。。。MISC1- (1)这道题主要是八进制转ascll码,然后base解码下载附件,并解压,得到一个message.txt文件,打开发现每个数字的每一位最高是7,考虑一下是不是8进制转换10(或16)进制,然后转ascll码。然后为了方便,我写了个代码转换(此...
前言 学习进行时,最近我学习了文件上传漏洞,感觉收获很大,所以总结一下。 为什么存在文件上传漏洞 上传文件时,Web应用程序没有对上传文件的格式进行严格过滤 , 就容易造成可以上传任意文件的情况。还有一部分是攻击者通过 Web服务器的解析漏洞来突破Web应用程序的防护。 危害 上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞,攻击者可以利用上传的恶意脚本文
MISC-图片隐写MISC1:Paint&Scan标题的意思是画图和扫描题目提示也是。下载题目文件并解压,得到txt文件。打开很明显就是画图了。用到画图工具gnuplot。所以先替换,将坐标转换成gnuplot能识别的格式然后开始画图,画图命令plot "Paint&Scan.txt"画出了张二维码二维码扫一下,得到flagMISC2:九连环题目...
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
