E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
BugKu
Bugku
杂项——好多数值
打开题目链接,发现如下内容:255,255,255255,255,255255,255,255255,255,255看到的第一反映就是RGB值,应该是需要通过这些值来重构图片,但是仅有像素的RGB值是不行的,我们还必须要知道此图像的尺寸,即每行每列各有多少像素粗略的研究一下这些数据就能够发现,在其中的某一段呈现出有规律型的变化:计算出两者的差值为122,同时数据总数为61366,刚好是122和50
彬彬逊
·
2020-07-29 23:13
ctf总结
Bugku
ctf writeup--web篇--报错注入
Step1:利用extractvalue进行报错根据题目提示,不允许包含“--”,空格,单引号,双引号,“union”关键字需要自己测试绕过过滤,对空格进行十六进制编码也无法绕过但是MySQL中换行符可以代替空格对换行符进行十六进制编码是%0A,所以这里我们构造语句:?id=1%0Aand%0aextractvalue(1,concat(0x7e,(select%0a@@version),0x7e
·
2020-07-29 22:52
CTF
第一次尝试CTF_
bugku
-江湖魔头
有喜欢打CTF的朋友可以带我一个qq885330217.这里分享一个比较有意思的CTF题目。这里附上链接:http://123.206.31.85:1616/“进入游戏”后看到了一张个人感觉画风很不错的江湖英雄人物,随手还搜索了一下:在右侧我看到了我当前游戏人物的属性值列表:习惯性的view-source,确定,view-source没有发现什么可疑的地方,内容很简单,挨个点了一下发现我还没有能力
Kiglass
·
2020-07-29 22:44
CTF_WEB
Bugku
CTF:网站被黑;管理员系统;web4
网站被黑后台扫描工具(第一次用),御剑扫描:除了我们看到的index.php,还有shell.php:访问一波,要密码,flag应该隐藏在这个密码后边:用Burpsuite爆破:浏览器选择burpsuite代理,打开监视,访问网站,输入密码,之后在空白处右击选择sendtoIntruder(爆破):转到Intruder,选择attacktype选择sniper:选择爆破的字典或者说是密码集合,我选
s0i1
·
2020-07-29 17:06
web安全
sqli-labs 下载+安装(windows)
写在前面的话:emmm,之前的
bugku
的web不更新了,大概十一月初做完了,然而我太懒了,一直没写博客,so,不想写了,新玩了个东西------sqli-labs,弄sql注入的,如果我勤快的话,就持续更吧
半夜好饿
·
2020-07-29 17:22
CFT
CTF平台题库writeup(三)--
BugKu
CTF-杂项(1-20题详解)
一、
BugKu
CTF-杂项(1-20)1、签到题扫描二维码直接获取flag2、这是一张单纯的图片http://120.24.86.145:8002/misc/1.jpg(1).启蒙级隐写术linux下保存到本地当作文本文件
CTF-学习呀
·
2020-07-29 13:03
CTF
信息安全
bugku
安全
信息安全
BugKu
MISC 部分题目Write_up(三)
第十三题: Linux基础11.通过网址下载题目zip包brave.zip,解压得到brave文件,题目说的是linux基础,应该是想考察linux下的grep命令,但是我直接用notepad++打开,搜索字符串KEY,直接找到了flag:第十四题: 细心的大象1.通过网址下载图片,照例我们通过binwalk命令查看图片,发现有隐藏文件:2.通过foremost命令修复文件得到压缩包:3.打开压缩
fly小灰灰
·
2020-07-29 13:00
CTF
Bugku
— never give up (PHP 黑魔法函数绕过)— writeup
转载自:https://ciphersaw.me/2017/12/26/%E3%80%90
Bugku
%20CTF%E3%80%91%20Web%20%E2%80%94%E2%80%94%20never%
xuchen16
·
2020-07-29 13:13
ctf
bugku
(代码审计 wp)
extract变量覆盖源码输入一个值shiyan,要求与flag相同,但是又不知道flag的值,还用了extract函数和file_get_contents函数,进行绕过flagget√strcmp比较字符串源码0;如果两者相等,返回0。//比较两个字符串(区分大小写)die('Flag:'.$flag);elseprint'No';}?>这里利用strcmp不能比较数组的漏洞flagget√ur
Xi4or0uji
·
2020-07-29 12:57
ctf
BugKu
:never give up
题目查看源代码:根据提示打开lp.html中间有一段base64编码和url编码varWords="转base64%22%3Bif%28%21%24_GET%5B%27id%27%5D%29%0A%7B%0A%09header%28%27Location%3A%20hello.php%3Fid%3D1%27%29%3B%0A%09exit%28%29%3B%0A%7D%0A%24id%3D%24_
wssmiss
·
2020-07-29 12:01
ctf
welcome to the
bugku
ctf(php://input和php://filter伪协议)
/123.206.87.240:8006/test1/解题思路查看源代码源码审计:user存在,且是一个文件,通过file_get_contents()将文件读入字符串r==“welcometothe
bugku
ctf
wssmiss
·
2020-07-29 12:01
ctf
(
bugku
-web)
源码中有提示1p.html直接访问,页面会跳转,所以直接查看源码2.url解码,base64解码得到php源码如下:varWords="window.location.href='http://www.
bugku
.com
小白的劝退之路
·
2020-07-29 12:55
bugku-web
bugku
---never give up
123.206.87.240:8006/test/hello.php查看源码发现有个1p.html尝试访问得到一串url编码%3Cscript%3Ewindow.location.href%3D%27http%3A//www.
bugku
.com
小龍貓
·
2020-07-29 12:52
CTF
CTF web题日常积累——代码审计题型(持续更新)
1.变量1题目来源:https://ctf.
bugku
.com/challenges这是一个入门的代码审计题,难度不大,主要在于看代码逻辑和正则。题目链接直接打开便是一段php源码,直接观察这个代码。
白色爬虫
·
2020-07-29 12:44
CTF积累
bugku
ctf never give up
view-source:http://120.24.86.145:8006/test/1p.html得到把这个字符串base64解码再url解码一下window.location.href='http://www.
bugku
.com
wuerror
·
2020-07-29 12:40
ctf
Bugku
-CTF之never give up
test/hello.php本题要点:url编码,base64编码,代码审计,php函数查看源码~访问1p.htmlhttp://123.206.87.240:8006/test/1p.html发现时
bugku
weixin_34262482
·
2020-07-29 12:05
bugku
web题1~8 write up
第一次写博web2打开网页是一个不断加快的动画,没有特别的线索。右键查看元素,结果flag就在body注释里,如图:ps:感觉这题收获不大,也许可以理解一下这题的js代码,就当是学js了p:考察右键查看源码文件上传测试测试:需要上传php文件才能得到flag,但是只允许上传图片文件思路:使用%00截断上传文件流程:构造文件名为1.php.jpg的文件上传用burp抓包(如图):修改文件名:在.ph
h0ryit
·
2020-07-29 11:40
ctf练习
bugku
CTF Writeup (Web)26-29
nevergiveup看源码,有提示去看1p.html的源码Words变量的值先url解码,再base64解码,再url解码,得";if(!$_GET['id']){header('Location:hello.php?id=1');exit();}$id=$_GET['id'];$a=$_GET['a'];$b=$_GET['b'];if(stripos($a,'.')){echo'nonono
Troublor
·
2020-07-29 11:29
CTF
bugku
ctf never give up
查看源码发现这个1p.html那我们构造http://123.206.87.240:8006/test/1p.html进行访问发现发现跳转回
Bugku
的主站那么接下来用burp抓包(这个抓包工具一定要会用呀
就是217
·
2020-07-29 11:43
bugku
ctf
Bugku
CTF Web —— never give up
/hello.php2.打开后看到:3.查看源代码,看到1p.html网页信息4.打开链接http://123.206.87.240:8006/test/1p.html发现跳转到http://www.
bugku
.com
北纬33度的小白
·
2020-07-29 11:43
ctf
Bugku
CTF中套路满满的题--------never give up
这道题目,当我做出来的时候,我此刻的内心是很复杂的。。。。进去,页面内容是nevernevernevergiveup!!!看到这里,感觉又要查看一大波信息。。。。刚开始,还是先查看源码,发现有一个提示:看到有一个提示,立马访问,你会看到进入到了一个CTF论坛,起初,小编以为flag回藏在论坛里,所以开始浏览论坛之旅。浏览下来,发现这论坛和平时见到的论坛没啥区别,虽然没找到flag,但看看其他人的帖
南人旧心1906
·
2020-07-29 11:33
ctf
【转】
bugku
never give up 详解
转:https://ciphersaw.me/2017/12/26/【
Bugku
CTF】Web——nevergiveup/0x00前言此题为Web基础题,难度中低,需要的基础知识有:HTML、PHP、HTTP
Burtoo薄涂
·
2020-07-29 11:22
信安
BUGKU
Bugku
CTF练习记录(一)WEB篇
WEB2F12控制台找到flag计算器输入结果发现只能输入一位F12找到input属性修改maxlength的值WEB基础$_GET查看代码URL中输入?what=flagWEB基础$_POST查看代码用Firefox的hackbar插件postwhat=flag矛盾函数is_numeric()检测变量是否为数字或数字字符串用科学计数法构造数字1或者使用%00截断?num=1%00WEB3打开后发
SIIVIBA
·
2020-07-29 11:49
Bugku
-WEB-never give up(重定向)
题目:打开控制台可以看到一处提示。尝试打开这个页面被跳转到了社区论坛,应该是有window.location.href之类的重定向http://www.cnblogs.com/Qian123/p/5345298.html#_label2#关于网页重定向为了防止被重定向到其他网页,需要在url前面加一条view-source:得到这个页面,varWords中,使用url编码加密了,解码试试看wind
Jaychouzz_k
·
2020-07-29 10:55
BugkuCTF
CTF-刷题1
备份是个好习惯-
BugKu
题目地址听说备份是个好习惯进入页面发现是一串数据,d41d8cd98f00b204e9800998ecf8427ed41d8cd98f00b204e9800998ecf8427e
木若流兮
·
2020-07-29 09:31
CTF
南邮CTF
BugKu
web-never give up
id=1,疑是注入点但是输入其他数字无果打开源码,发现注释有网页链接打开连接123.206.87.240:8006/test/1p.html发现回到了
bugku
的论坛首页,应该是重定向出问题观察在连接前面添加
diemozao8175
·
2020-07-29 09:26
BugKu
CTF(CTF-练习平台)——WEB-矛盾(详细分析)
BugKu
CTF(CTF-练习平台)——WEB-矛盾(详细分析)今天有个小伙伴,在做
BugKu
的CTF中WEB-矛盾那道题时不得理解,现把分析思路和解题的writeup写出来,方便以后查询和跟大家交流,
Mr.Lee……
·
2020-07-29 09:01
信息安全
bugku
never give up
御结冰城进入后我们查看源代码发现了于是我们访问view-source:http://120.24.86.145:8006/test/1p.html发现了一串url编码解密后得到window.location.href='http://www.
bugku
.com
俺叫王梦涵
·
2020-07-29 09:38
bugku
管理员系统与 X-Forwarded-For
管理员系统60 http://123.206.31.85:1003/答案:Theflagis:85ff2ee4171396724bae20c0bd851f6b查看网页源代码在网页源代码中除最后一行注释代码外,没有什么其它值得特别注意的代码dGVzdDEyMw==很明显是Base64编码格式,解码:test123登录根据返回提示可以看出肯定是伪造本地ip才能访问那就伪造试一下X-Forwarded-
孤君
·
2020-07-29 09:11
随笔
整理一下
bugku
题目(web)
做的比较晚,好多靶场都被玩坏了,就写一下能做的,难题也还不会写。。1.web2直接F12,拿到flag。2.计算器打开发现是道计算题,easy,但是发现只能输入一位数字,前端的防护都是摆设,直接修改源代码。3.web基础$_GET代码审计题,发现是GET传参,构造payload:?what=flag,找到flag。4.web基础$_POST还是代码审计,只不过是post传参,用hackbar进行p
DonkeyMoon
·
2020-07-29 09:38
BugKu
-- never give up
://120.24.86.145:8006/test/hello.php作者:御结冰城打开链接显示一串字符,右键查看源码,发现1p.html访问1p.html,发现页面自动跳转到http://www.
bugku
.com
「已注销」
·
2020-07-29 09:11
ctf
bugku
ctf 管理员系统 (伪造x-forwarded-for绕过服务器IP)
随便输入发现ip禁止访问与本地管理员联系登陆我们查看源码到最后发现在线base64解密得到test123Username:adminPassword:test123发现居然还是不能提交那么burp抓包发给repeater发现了可以通过使用HTTP的X-Forwarded-For头实现。于是在Headers中增添一对键值对:X-Forwarded-For:127.0.0.1伪装成本地访问然后go发现
就是217
·
2020-07-29 06:30
bugku
ctf
bugku
-Web-login3(SKCTF)(登录用户名+异或方式的bool盲注)
题目给出了提示:基于布尔的SQL盲注打开网页,是登录框,那我们很大可能就是在username或password上进行注入,可能性大一点的是username了吧。首先输进行一些尝试,找出正确的注入地方以及是否进行了过滤。反馈是passworderror!输入用户名admin1,得到usernamedoesnotexist!,所以这里应该是先对username进行查询,这样就能确定我们的注入地方就是在
N0Sun諾笙
·
2020-07-29 04:14
sql注入
Bugku
bugku
成绩单writeup(手动注入、sqlmap注入、python盲注详解)
知识点:SQL注入,三种解法手动注入、sqlmap注入、python盲注一、手动注入手动注入前先理解msysql的系统配置select1,database(),version();//查询数据库类型和版本select*frominformation_schema.schemata//数据库下的所有库schema_name='mysql'information_schema信息数据库。其中保存着关于
CTF-学习呀
·
2020-07-29 03:26
信息安全
CTF
bugku
ctf-
Bugku
CTF-misc
1.这是一张单纯的图片使用winhex打开图片,在图片结尾发现一串开头的16进制串,直接对16进制字符hex解码即可2.隐写打开压缩包发现文件时坏的,放入tweakpng.exe中修复并加长高度,直接使用画图3D打开即可3.telnet解压发现是一个数据包,直接用wireshake打开,题目提到telnet,搜索telnet,按字节大小排序,阅读可直接看到答案4.眼见非实(ISCCCTF)开始
逃课的小学生
·
2020-07-29 02:28
ctf
bugkuctf
misc
ctf-
Bugku
CTF-crypto
1.滴答~滴很容易看出这是摩斯加密,直接解密即可,注意格式#encode=utf-8s='-...-.--.-.-..-.--.....-.-.'codebook={'A':".-",'B':"-...",'C':"-.-.",'D':"-..",'E':".",'F':"..-.",'G':"--.",'H':"....",'I':"..",'J':".---",'K':"-.-",'L':".
逃课的小学生
·
2020-07-29 02:28
ctf
crypto
bugkuctf
bugku
中的多次(异或注入,updatexml报错注入,union过滤和locate绕过,布尔盲注)writeup
转载自:https://blog.csdn.net/mylyylmy/article/details/80030256首先我们判断一下是什么注入类型注意输入的是英文字符',中文不会转变为%27,报错,说明是字符注入这时候我们就要判断一下SQL网站过滤了什么内容,我们可以使用异或注入来判断哪些字符串被过滤掉了http://120.24.86.145:9004/1ndex.php?id=1%27^(0
xuchen16
·
2020-07-29 01:52
ctf
bugku
成绩单(sql注入)writeup
解法一:手工注入输入1,2,3分别能查到1,2,3号学生的成绩SQL注入应该没跑了输入1'返回异常,输入1'--+返回异常,输入1'#或者1’--+返回正常,看来过滤了--+观察,表貌似有四列(名字,Math,English,Chinese),输入1'orderby4#返回正常,输入1'orderby5#返回异常,看来的确是4列接下来就开始暴库名、表名、字段名尝试联合查询,记得把前面的查询数据置空
xuchen16
·
2020-07-29 01:52
ctf
Bugku
sql注入2 writeup
转载自:http://hu3sky.ooo/2018/08/18/
bugku
%20sql2/网上没有一个正常做出来了的看了叶师傅的wp,跟着学一遍username的注入,盲注根据username的返回不同
xuchen16
·
2020-07-29 01:22
ctf
bugku
本地包含 writeup
转载自:https://blog.csdn.net/Sanky0u/article/details/77197523本地包含右键查看源代码搜了一下@$_REQUEST的意思是获得参数,不论是@$_GET还是@$_POST可以得到的参数@$_REQUEST都能得到。所以构造hello的get参数。$a应该最后会像字符串替换一样替换成hello的参数值吧。hello=);print_r(file("f
xuchen16
·
2020-07-29 01:22
BugKu
--login3(SKCTF) 布尔盲注 writeup
转载自:https://blog.csdn.net/zpy1998zpy/article/details/80667775
Bugku
的一道题目,用到了布尔盲注,还过滤了and关键字,这里用到了^(按位异或运算
xuchen16
·
2020-07-29 01:22
Sqlmap盲注的过程分析
用一道
bugku
的CTF的题目来作为分析对象https://ctf.
bugku
.com/challenges里面的分析类里的信息提取初初看数据包。先过滤非HTTP的流量,便于分析。
xiaopan233
·
2020-07-29 00:52
web安全
N1CTF 2018 lipstick WriteUp (
bugku
——多彩)
一开始是在
bugku
网站上看到这题的。。后来了解到是N1CTF2018国际赛的题。。将图片下载下来之后放入Stegsolve。。。看到了这个。。。(杨树林???)再加上题目是lipstick。。。
灬彬
·
2020-07-29 00:43
ctf
特殊的绕过
也算借鉴吧,如果有大佬介意的话,笔者会删除此贴大佬的绕过技巧1.逗号绕过此题的实例为
bugku
中web的insertinto注入union的逗号绕过union的逗号绕过很简单,只需要使用join的方式。
weixin_45611539
·
2020-07-28 23:00
sql注入
Bugku
CTF—Crypto加密 writeup
Bugku
CTF—Crypto加密writeup滴答~滴聪明的小羊ok这不是摩斯密码easy_crypto简单加密散乱的密文凯撒部长的奖励一段Base64.!?
薛定谔了么
·
2020-07-28 22:15
BugCTF
writeup
web题
bugku
upload一上来就是上传,抓包首先修改了一下后缀,考虑到可能是黑名单过滤不严格,结果一试就试到了(常用的后缀:php2/3/4/5,pht,phtm,phtml,phps)又修改了mime类型
sm1rk
·
2020-07-28 22:49
Bugku
-rsa
题目描述典型的rsa…原理密钥的产生:选择两个满足需要的大素数ppp和qqq,计算nnn=pppxqqq,φ\varphiφ(n)=(p-1)x(q-1),其中φ\varphiφ(n)是n的欧拉函数值。选一个整数eee,满足1test.pempythonRsaCtfTool.py--publickeytest.pem--private>test.keypythonRsaCtfTool.py--ke
、moddemod
·
2020-07-28 22:43
bugku
密码学
rsa
bugku
密码学
bugku
CTFWEB部分WP
练手地址:https://ctf.
bugku
.com矛盾矛盾考察的是PHP弱类型首先is_numeric()函数判断是不是数字或字符串取反则必须要输入字符串而且这个字符串还要==1这里用到PHP弱类型比较如
笑花大王
·
2020-07-28 22:06
BugKu
CTF WEB 本地包含
http://123.206.87.240:8003/题解:原理:$_REQUEST[]支持det、post两种方式发送过来的请求var_dump()函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值;数组将递归展开值,通过缩进显示其结构eval()函数把字符串按照PHP代码来计算。该字符串必须是合法的PHP代码,且必须以分号结尾。show_source()函数对文件进行语法高亮显示,是
STZG
·
2020-07-28 21:48
#
PHP
BugKu
CTF WEB 点击一百万次
http://123.206.87.240:9001/test/题解:版本一工具:火狐插件hackbar关键代码varclicks=0$(function(){$("#cookie").mousedown(function(){$(this).width('350px').height('350px');}).mouseup(function(){$(this).width('375px').he
STZG
·
2020-07-28 21:48
#
JavaScript
上一页
9
10
11
12
13
14
15
16
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他