isclab比赛,以及ctf的总结未完待更新

5.1这天时光是我们刚开始要做的挑战赛,我做出来一道,用了两个方法,来此分享。
第一道web题值50分的。开头就说要输入比服务器大的数字就可以,虽然不知道服务器是多少,废话不多说看源代码发现maxlength的值是3,直接输入最大的三位数999,结果给出提示,太小了,显而易之这个题就是要修改maxlength的值,可以用抓报的方法,亦可以直接在问题的浏览器上用f12弹出控制台,用查看器找到代码并按右键修改html编辑,将要修改的改成稍大的数字就行,然后再输入大的数字就行。
如下图所示


图片.png

或者可以用抓包的方法,你可以用 按右键找到burpsuite中的Reapeater对页面数据进行修改发送。如下图所示对v= 进行写这个可能就是所谓属性值value进行改写再 go进行 反馈出key is ....
我们就得到了答案。


图片.png

总结

我是从实验吧的这个视频看的,讲的较为全面。
http://www.shiyanbar.com/course-video/watchVideo/cid/473/vid/2227
以下是总结
大概划分为大类

web:

WEB应用在今天越来越广泛,也是CTF夺旗竞赛中的主要题型,题目涉及到常见的Web漏洞,诸如注入、XSS、文件包含、代码执行、上传等漏洞。本系列课程中你可以学到头文件修改,设置本地代理进行抓包、改包,各种常用以及奇葩的编码方式,sql注入等内容。

密码学:

Crypto即密码学,题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术,主要考查参赛选手密码学相关知识点。本系列课程中你可以学到古典密码,凯撒加密,base64编码,JS编码加密,utf编码加密等。也会遇到用户自定义的加密算法等。
技巧解法:1.以0x开头的一般用16进制解密,出现%数字,一般就用url解密,出现一大串数字就用ASCII码表解密。
2.https://blog.csdn.net/e_zhiwen/article/details/5975960一般含有@#¥等可以用VBSSCRIPT方法解密。
还会考到网页的小知识例如 eval是把在括号里输入的字符串和变量组合成一条语句然后运行它。而document write(),则是网页输出文档 。 一般可能会考察你的语法知识。
还有类似送分题目,例如丘比龙系类类的一般通过百度就可以找到相应的key。

安全杂项

:MISC即安全杂项,题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广,主要考查参赛选手的各种基础综合知识。本系列课程中你可以学到各种编码解码,社会工程学,流量分析,日志分析等知识。
逆向工程:Reverse即逆向工程,题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。本系列课程中你可以学习到使用OD进行逆向分析,关键字符查找,断点设置以及程序破解等知识。

隐写术:

STEGA即隐写术,题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛选手获取。主要考查参赛选手的对各种隐写工具、隐写算法的熟悉程度。本系列课程中你可以学习到信息在图片中隐写的几种方法,文件头信息修改,stegsolve工具使用,LSB算法,binwalk工具使用等知识。
以下是我在网上找的相对于较齐全的隐写术的总结。https://blog.csdn.net/qq_38329811/article/details/77525002?locationNum=10&fps=1
1.一般隐藏的信息地方都挺多,特别是这种图种类的信息,建议可以在图片的属性中的详细信息中去查找你所需的key值。
2.格式:png(可能会用到Stegsolve进行通道分析)

3.文件u上传绕过;离不开上传绕过的便是00截断。

image.png

你可能感兴趣的:(isclab比赛,以及ctf的总结未完待更新)