isclab比赛，以及ctf的总结未完待更新

5.1这天时光是我们刚开始要做的挑战赛，我做出来一道，用了两个方法，来此分享。
第一道web题值50分的。开头就说要输入比服务器大的数字就可以，虽然不知道服务器是多少，废话不多说看源代码发现maxlength的值是3，直接输入最大的三位数999，结果给出提示，太小了，显而易之这个题就是要修改maxlength的值，可以用抓报的方法，亦可以直接在问题的浏览器上用f12弹出控制台，用查看器找到代码并按右键修改html编辑，将要修改的改成稍大的数字就行，然后再输入大的数字就行。
如下图所示

图片.png

或者可以用抓包的方法，你可以用 按右键找到burpsuite中的Reapeater对页面数据进行修改发送。如下图所示对v= 进行写这个可能就是所谓属性值value进行改写再 go进行 反馈出key is ....
我们就得到了答案。

图片.png

总结

我是从实验吧的这个视频看的，讲的较为全面。
http://www.shiyanbar.com/course-video/watchVideo/cid/473/vid/2227
以下是总结
大概划分为大类

web:

WEB应用在今天越来越广泛，也是CTF夺旗竞赛中的主要题型，题目涉及到常见的Web漏洞，诸如注入、XSS、文件包含、代码执行、上传等漏洞。本系列课程中你可以学到头文件修改，设置本地代理进行抓包、改包，各种常用以及奇葩的编码方式，sql注入等内容。

密码学：

Crypto即密码学，题目考察各种加解密技术，包括古典加密技术、现代加密技术甚至出题者自创加密技术，主要考查参赛选手密码学相关知识点。本系列课程中你可以学到古典密码，凯撒加密，base64编码，JS编码加密，utf编码加密等。也会遇到用户自定义的加密算法等。
技巧解法：1.以0x开头的一般用16进制解密，出现%数字，一般就用url解密，出现一大串数字就用ASCII码表解密。
2.https://blog.csdn.net/e_zhiwen/article/details/5975960一般含有@#￥等可以用VBSSCRIPT方法解密。
还会考到网页的小知识例如 eval是把在括号里输入的字符串和变量组合成一条语句然后运行它。而document write(),则是网页输出文档 。 一般可能会考察你的语法知识。
还有类似送分题目，例如丘比龙系类类的一般通过百度就可以找到相应的key。

安全杂项

：MISC即安全杂项，题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等，覆盖面比较广，主要考查参赛选手的各种基础综合知识。本系列课程中你可以学到各种编码解码，社会工程学，流量分析，日志分析等知识。
逆向工程：Reverse即逆向工程，题目涉及到软件逆向、破解技术等，要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。本系列课程中你可以学习到使用OD进行逆向分析，关键字符查找，断点设置以及程序破解等知识。

隐写术：

STEGA即隐写术，题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛选手获取。主要考查参赛选手的对各种隐写工具、隐写算法的熟悉程度。本系列课程中你可以学习到信息在图片中隐写的几种方法，文件头信息修改，stegsolve工具使用，LSB算法，binwalk工具使用等知识。
以下是我在网上找的相对于较齐全的隐写术的总结。https://blog.csdn.net/qq_38329811/article/details/77525002?locationNum=10&fps=1
1.一般隐藏的信息地方都挺多，特别是这种图种类的信息，建议可以在图片的属性中的详细信息中去查找你所需的key值。
2.格式:png(可能会用到Stegsolve进行通道分析)

3.文件u上传绕过；离不开上传绕过的便是00截断。

image.png