偶然发现的一个CTF网站,好像是燕京理工学院的一个小比赛,题目不是很多,也不是很难,适合新人入门CTF,以下附上这个小型CTF的wp,题目地址:传送门
1.签到题
签到题总是很简单,可是这种简单程度第一次见。。。连动都不动的,直接告诉答案。。
WEB类
1.背后
先不看题目,web类第一题肯定不会很难,再加上这个题目名字,猜测是要在网页源码中找到flag,果然看到了flag。。。
2.一种编码
web类编码大多比较固定,一般使用console就可以直接运行被加密过的代码
这种编码叫jother编码,编码网站为:传送门,直接在console里运行代码即可
3.where is my text ?
看这条起初没什么思路,看看网页源码得到了hint
可以看到提示,我们需要GET提交KEY,然后联系题目,文件放在desktop里,因此这条我们就需要使用file://来读取桌面上的文件,file://的用法:传送门
因此我们最终构造的url为:http://www.se7ensec.cn/yitctf/web2/index.php?key=file://C:UsersAdministratorDesktopkey.txt
4.比较
只要比服务器上给出的数字大就可以了哦 (・。・)
猜测是js的本地验证,有两种方法
(一)burp抓包修改数字
(二)修改本地限制
第一种不多说,直接抓包修改数字即可,第二种需要F12,然后修改maxlength
5.爆破
Tip:Password说:我是一个五位数
burp爆破,这里分为两步,先生成五位数的字典,然后用burp进行爆破
生成字典脚本如下
1
2
3
4
5
6
7
8
9
10
11
12
13
|
#-*-coding:utf-8-*-
import string
num=string.digits
fp=open(‘pwd.txt’,‘w’)
for i in num:
for j in num:
for m in num:
for n in num:
for x in num:
str=i+j+m+n+x
fp.write(str)
fp.write(‘n’)
fp.close()
|
burp的爆破就先不说了,百度直接有教程。。。
相关推荐: 【转】【解密】日志追凶之从看日志了解黑客攻击手法【春秋第一篇】
这篇文章写的真的非常好,学习了很多知识,对服务器的安全分析有很大的帮助,因此转载之方便学习(文章部分格式可能有点不对,敬请谅解)~原文地址:传送门 本帖最后由 诚殷网络论坛 于 2017-8-1 09:43 编辑 ———————–…
请登录后发表评论
注册