E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
BugKu
【
Bugku
CTF】Web--速度要快
Description:速度要快!!!!!!http://123.206.87.240:8002/web6/格式KEY{xxxxxxxxxxxxxx}Solution:打开网页发现这段话,查看源代码也无果让我快点,那用BurpSuite就行发现flag,Base64解码一下就行明文:跑的还不错,给你flag吧:MTY2NjM3然后发现然后看看是不是我还没解码完,于是将MTY2NjM3成功地再次解码
VZZmieshenquan
·
2019-02-10 17:48
ctf.bugku.com
Bugku
CTF代码审计Writeup
前言最近在读吴翰清先生的《白帽子讲Web安全》,可以说是萌新打开了自己新世界的大门,看了白帽子的PHP安全这一块内容,决定上手一些题目练一练基础,下面放上一些晚上练习的
Bugku
的代码审计题目;正文extract
Gard3nia
·
2019-02-03 18:02
Writeup
php反序列化_1
愚见,只是从接触的ctf题目来看,php反序列化就是将原来给php中的代码中的变量赋值,最终使得代码的执行跳到危险的函数上面去执行危险代码先来说先知上的一个帖子的:php反序列化的一些例子//
bugku
test.phpfunnnn
HOtMI1k
·
2019-01-29 08:47
bugku
秋名山老司机之使用requsets解题
码#coding=utf-8#!/user/bin/python3importrequestss=requests.session()url="http://123.206.87.240:8002/qiumingshan/"flag=s.get(url=url)flag1=flag.text.split("")[1].split("=")[0]#提取出等号前的算式key=eval(flag1)#e
完好的剑鞘
·
2019-01-27 21:05
笔记
WriteUp easy_crypto(
Bugku
)
WriteUpeasy_crypto(
Bugku
)最近在刷
Bugku
的题目,发现easy_crypto题目分数小却solved数量不多,搜了下也没找到WP,于是自己写了下个人解题步骤。
FrancisQiu
·
2019-01-23 12:15
CTFwriteup
Bugku
ctf ——流量分析 write up(持续更新中)
流量包分析CTF比赛中,流量包的取证分析是另一项重要的考察方向,有时候电子取证也会涉及到这方面的知识。通常比赛中会提供一个包含流量数据的PCAP文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。PCAP这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。铁人三项的话是查找ip服务器还原入侵过程。CTF中的数据分析主要
高二在读生
·
2019-01-07 23:18
CTF学习之路---
bugku
WEB篇-WEB2(更新中)
1.WEB2题目链接http://123.206.87.240:8002/web2/第一题为签到题,页面挺好玩,主要进入有一组滑稽笑脸使用F12查看源代码即可找到flag值签到题没什么好说的
踏坑的小白
·
2019-01-03 08:02
学习
bugku
-ereg正则截断(代码审计)
题目地址:http://123.206.87.240:9009/5.phpereg正则%00截断的一道代码审计:if(isset($_GET['password'])){if(ereg("^[a-zA-Z0-9]+$",$_GET['password'])===FALSE){echo'Youpasswordmustbealphanumeric';}elseif(strlen($_GET['pass
dyw_666666
·
2018-12-30 14:12
Code
Audit
CTF
bugku
http://123.206.31.85:10012 rua233333
Pleasedon'tstoprua233333time=$tt;$this->password=$pp;}function__destruct(){if(!empty($this->password)){if(strcmp($this->password,$this->truepassword)==0){echo"Welcome,youneedtowait......Theflagwillbec
飞花念惜
·
2018-12-27 16:20
CTF
bugku
-flag.php(代码审计)
题目地址:http://123.206.87.240:8002/flagphp/首先注意他给的一个提示:hint进入题目后,当我在login框中想半天寻找攻击点的时候,只想到了用御剑去扫描目录然后来查看一些文件,没有想到是GET传参,还好奇点了login咋没反应。根据提示猜测hint可能是参数,于是payload:http://123.206.87.240:8002/flagphp/?hint=0
dyw_666666
·
2018-12-27 16:43
Code
Audit
CTF
Bugku
CTF 点击一百万次
当打开链接看到页面内容点击图标后数字增加一。查看js源码,当clicks>=1000000时会有一个内容提交。感觉flag应该会在submit之后获得。现在问题是怎么使得clicks>=1000000。手动点击是不可能的,发现访问http://123.206.87.240:9001/test/,服务器会返回页面内容。我们可以用fiddler拦截response,修改clicks的值。首先设置fid
小王子1234
·
2018-12-21 17:58
bugkuCTF
Bugku
CTF: 啊哒
拿到压缩包,解压后是一个图片,放到winhex中寻找flag,发现有flag.txt字样,但是不知道怎么处理。linux下执行:binwalkada.jpg内含一个zip压缩包,分离文件:压缩包需要密码:回去看看源图片文件ada.jpg的详细信息16进制,转化成字符串(Notepad++中的插件,直接16进制转ASCII):得到解压密码:sdnisc_2018分离文件(1)使用dd命令分离(lin
s0i1
·
2018-12-20 14:26
杂项
Bugku
CTF-Web-你必须让他停下
看到题目的名字:你必须让他停下,嗯?咋滴,还跑了不成,哈哈哈哈哈哈哈哈。点开题目地址,额。。。。这刷新速度有点快啊,快到我已经不能完整看完源码了。不过呢?在没进行任何操作之前,还是发现了源码里面有一句:“flagishere~”嗯,看来是隐藏掉了。。。。咋办?咋办?咋办?看不到源码,找不到flag。。。那只能有一个办法:抓包!!上BurpSuite!!说点题外话:使用BurpSuite抓包时最好使
烟雨天青色
·
2018-12-13 18:17
CTF
BugKu
Ctf-逆向-love
把文件拖入PEID没有壳,然后拖入IDA查看字符串看到有base64字样,但是主要着眼到wrongflag交叉引用到这里查看反编译函数大致流程为输入一个字符串,再进行某个函数加工处理,之后得到的字符串再对每个str[i]+i。然后再与一个已知的字符串对比,如果一样则通过。然后联想到刚刚看到的BASE64,用PEID的插件检测确实存在BASE64加密然后尝试输入任意字符串AAAAAAAA使用OD调试
Wwoc
·
2018-12-11 22:48
学习记录
ctf
逆向工程
Bugku
CTF之web题之多次
Bugku
CTF之web题之多次点击进去发现是:看见有个id,一个一个试一试,到id=5时,发现有提示:可以确定了,这题是sql注入。
A_dmins
·
2018-12-10 13:13
CTF题
BUGKUCTF
Bugku
CTF之web题之这是一个神奇的登陆框
Bugku
CTF之web题之这是一个神奇的登陆框打开网页之后发现:随便输入账号和密码出现:那就开始寻找注入点吧,输入0’发现还是:输入0"发现报错:确定可以注入,判断字段有多少个0"orderby1,2,3
A_dmins
·
2018-12-09 18:32
CTF题
BUGKUCTF
Bugku
CTF-加密-凯撒部长的奖励
这个题目,我们打开之后,题目直接给出了解题的密文,这个不需要我们做,任何处理,直接将密文放到CTFcrackTools里面进行凯撒解密。我们现在来看一下,凯撒密码解密的结果:解密之后,我们会发现有很多条结果,那么我们怎么从这么多条结果里面筛选出我们想要的结果呢。这里,我们首先还是要看密文格式,密文的首字母只有三位,说明这个题提交的绝对不是flag{}的形式,再根据题目所处的环境以及题目的含义“就在
烟雨天青色
·
2018-12-09 14:16
CTF
bugku
-各种绕过(web7)
题目地址:http://123.206.87.240:8002/web7/通过阅读代码,我们发现要想得到flag就要达到下面三个条件:使uname的sha1值与passwd的sha1的值相等但是同时uname和passwd两个的值又不能相等id==“margin”解决方法:get方式提交uname和id,post方式提交passwd把uname和passwd定义成数组,数组的哈希值相同url传入时
dyw_666666
·
2018-12-08 16:41
Code
Audit
CTF
Bugku
CTF之web题之成绩单
Bugku
CTF之web题之成绩单1.向其中分别输入1,2,3…发现可以查询,当向其中输入1’时,程序不能查询,根据观察题目,猜测应该可以大概判断出有四个字段2.在成绩查询处开始爆数据库名,输入0’unionselectdatabase
A_dmins
·
2018-12-07 21:58
CTF题
BUGKUCTF
[Re]
bugku
CTF逆向题(持续更新)
目录
bugku
入门逆向题解
bugku
easy_vb题解
bugku
easy_re
bugku
游戏过关题解
bugku
love题解
bugku
file题解待续
bugku
入门逆向题解打开程序,一闪而过去控制台环境打开只有一串字符
jazrynwong
·
2018-12-05 21:27
C
Reverse
bugku
普通的二维码
打开题目,得到一个压缩文件,解压得到一个二维码图片,扫码,没有,,用C32asm打开这个图片,在文件末尾发现一串奇怪的数字可是小白的我却没想到这是三位一组的八进制数,看了大佬的才明白,于是写了个py3脚本将它们装换成ascll附上代码f=open('1.txt')temp=[]whileTrue:k=f.read(3)ifk:temp.append(k)else:breakf.close()for
shadow_pedestrian
·
2018-12-04 22:08
CTF
BUGKU
-逆向(reverse)-writeup
Easy_vbEasy_Re游戏过关Timer(阿里CTF)逆向入门loveLoopAndLoop(阿里CTF)easy-100(LCTF)SafeBox(NJCTF)Mountainclimbing前言:在
bugku
ahilll
·
2018-12-04 14:13
bugku
细心的大象
打开题目,是一个简单的压缩包,解压之后得到一个大象的图片,用binwalk和exiftool检查了一下,binwalk检查正常,exiftool查看信息发现一段base64(在windows下图片信息查看也可以看到)发现这串base64之后我就想它的作用,想来想去应该只有当密码的作用了,刚开始我还试了下把它当key提交,结果肯定是失败的,既然这串base64应该是做为压缩包密码那么就应该会有一个带
shadow_pedestrian
·
2018-12-02 11:07
CTF
SQL基于时间的盲注(
BUGKU
CTF)
这篇只是为了让我自己做个记录在进行一个
BUGKU
的ctf:http://123.206.87.240:8002/web15/题目给出了源码:error_reporting(0);functiongetIp
pandarking
·
2018-11-26 13:19
个人记录
HTTP协议(3)浏览器的使用之查看源码
例题1:
BugKu
Web2http://123.206.87.240:8002/web2/打开题目之后,查看源码,flag直接就放在源
yttitan
·
2018-11-20 07:22
CTF
浏览器
查看源码
网络安全
bugku
-flag在index里(本地文件包含漏洞+php伪协议)
题目地址http://123.206.87.240:8005/post/click点击进去从url地址可以猜测,需要用到php://filter伪协议。用法:php://filter/read=convert.base64encode/resource=[文件路径]含义:php://filter是一种元封装器,设计用于"数据流打开"时的"筛选过滤"应用,对本地磁盘文件进行读写。简单来讲就是可以在执
dyw_666666
·
2018-11-11 18:40
CTF
bugku
-文件包含2(文件包含漏洞)
本文介绍三种方法,还会讲到这道题菜刀的连接。进入题目页面,没有什么特别的,只能右键查看源代码,发现提示需要跳转到upload.php上传页面方法一:①新建一个txt文件写入system("ls")后另存为jpg格式②选择浏览上传文件③访问保存进去的文件即Savein后面的图片路径因为我们写入了ls命令,用于显示当前目录下所有文件,发现了flag文件④然后访问:http://123.206.31.8
dyw_666666
·
2018-11-09 17:39
CTF
BUGKU
普通的二维码
16进制打开二维码发现一段8进制,转为ASCIIa='146154141147173110141166145137171060125137120171137163143162151160164137117164143137124157137124145156137101163143151151041175'flag=''foriinrange(len(a)/3):flag+=chr(int(a[i
mai_lang_chai
·
2018-11-07 11:58
Bugku
逆向题(持续更新)
1.入门逆向-baby一开始用OD打开,查完字符串什么都发现不了,于是乎拖入IDA。于是发现这里一大串的mov,在观察66h,6Ch,61h,67h,稍有经验的同学应该知道这是ASCII字符flag的16进制把他们逐个敲进写好的脚本,得到flag。(IDA我还不是很熟练,希望有大神指导一下除了逐个敲还有没有其他方法)2.Easy_vb这题是超级无敌简单签到题,把它拖进OD或者IDA,搜索字符串就能
巧克力味的Paaaaaaaa
·
2018-11-04 23:01
Bugku
——ereg正则截断
0x00前言如饥似渴的学习ing。题目0x01Start首先来看一下源码:9999999){if(strpos($_GET['password'],'-')!==FALSE)//strpos—查找字符串首次出现的位置{die('Flag:'.$flag);}else{echo('-havenotbeenfound');}}else{echo'Invalidpassword';}}?>这里依旧是可以
Bubble_zhu
·
2018-11-01 00:26
CTF
Bugku
CTF—逆向—WriteUp(持续更新)
Bugku
CTF—逆向—WriteUp(持续更新)0X01第一次做逆向的有关题目,实在是丈二的和尚摸不着头脑,借鉴大牛的思路慢慢那进行练习。
syxvip
·
2018-10-31 18:47
BUGKU
_CTF WEB(21-35) writeUP
分享一个大神的人工智能教程。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到人工智能的队伍中来!http://www.captainbed.net/xiaohei第21题:秋名山老司机根据题目要求可以看出题目要求在两秒内计算出div标签中给出的值。这里采用py传递value参数。通过post传递参数。session保持会话,从而拿到flag。第22题:速度要快。burp抓包发现一个respo
程序小黑
·
2018-10-31 12:30
网络安全
WEB
网络空间安全
bugku
-多次
这题分为两个关卡,都是sql注入的。第一关是关键字and、or、union、select过滤,第二关是报错注入。测试进入第一关没有什么提示信息,但是url地址栏?id=1可能存在注入id=1'会报错,后面加--+注释返回正常,确定存在SQL注入?id=1'or1=1--+也报错,可能存在过滤尝试双写绕过,?id=1'oorr1=1--+返回正常异或注入这时我们可以用异或注入来检测,异或即两个条件相
dyw_666666
·
2018-10-27 23:20
SQL
Inject
CTF
BUGKU
CTF WEB (10-15题)
11、web5点开网址后:随便输入提交看看:并没有出现什么,F12查看代码,会发现一个奇怪的东西:百度以后发现是某种编码,将其丢到控制台出直接解码,得到flag。flag:ctf{whatfk}12、头等舱点开网址后:会发现如文字所述,什么也没有,查看代码,emmm,也很干净,什么都莫得orz。用抓包试试看吧,或许能有什么东西。抓包后发现了flag。查看了其他人的答案,发现,他们的源码中含有一个隐
半夜好饿
·
2018-10-25 16:35
CFT
Bugku
—凯撒部长的奖励
0x00前言昨天忘记写CTF的题目了,所以这个是今天补充的。题目0x01Start这里一看就知道是凯撒大帝的密码。使用框架直接解密。MSW{byly_Cm_sIol_lYqUlx_yhdIs_Cn_Wuymul_il_wuff_bcg_pCwnIl_cm_u_Yrwyffyhn_guh_cz_sio_quhn_ni_ayn_bcm_chzilguncihm_sio_wuh_dich_om}这里可能
Bubble_zhu
·
2018-10-25 10:08
CTF
bugku
奇怪的密码
前言:做CTF难免会遇到各种奇葩的密码,今天就拿一道
bugku
中奇怪的密码来说说,对于初次见到这种题的人来说多少有些懵1.呈上字符串"gndk€rlqhmtkwwp}z"先不看后面的字符串,前四个“gndk
潘得彼
·
2018-10-24 19:44
ctf-练习平台
CTF -
Bugku
CTF-insert into注入
代码如下#-*-coding:utf-8-*-importrequests#"database()"5web15确定数据库#"(selectgroup_concat(table_name)frominformation_schema.tableswheretable_schema='web15')"14client_ip,flag确定表名#"(selectgroup_concat(column_n
Blood_Pupil
·
2018-10-23 15:54
审计实战
Bugku
CTF管理员系统(IP禁止访问)
管理员系统:又是IP禁止访问的问题,想到了在伪造源IP:首先查看源代码,发现进度条不对,几句代码进度条却那么长,Ctrl+End,发现一段base64编码,解码发现是test123,管理员登录的话,账号应该是admin,所以这个应该是密码吧在源代码最后发现这个:下面这部分有两种操作方式:方法一(物理机上):F12进入控制台,输入账号,密码,自动进入网络栏并且有一次网络活动,在消息头处点击编辑和重发
Sandra_93
·
2018-10-22 15:35
F12
操作部分
writeup
BugkuCTF
Linux
过狗一句话(
bugku
)
昨天写了个关于一句话木马的题,今天上午百度了一个上午理解一句话木马,感jio还是有点懵逼,于是想写一下题来理解一下下……不过虽然这道题题目叫过狗一句话,但似乎跟我想象的不大一样emmmmm----------------------------------------------------------不废话不废话----------------------我是分割线分割线------------
_Warning_
·
2018-10-20 11:00
Web学习笔记
Bugku之Web
各种绕过----
bugku
之 SHA1 碰撞
注意点:1.get方式提交uname和id值,post方式提交passwd值2.uname和passwd的哈希值相同3.id==“margin”解决1get和post提交,方式1:火狐的HackBar,方式:python程序。。。2把uname和passwd定义成数组,数组的哈希值相同3url传入时,令id=margin最后采用post和get两种方式同时提交,得到flag。。。
那酷小样
·
2018-10-19 21:45
网络安全
frackzip暴力破解密码
Bugku
隐写2第一步右键文件属性,发现100K+,跟其他后缀名为jpg的文件相比有些大,觉得里面应该有东西,将图片拖到虚拟机里,用binwalk命令:binwalk.Welcome.
Sandra_93
·
2018-10-18 22:16
BugkuCTF
工具类
bugku
CTF--就五层你能解开吗
@Time:2018/10/17
bugku
的一道CTF题第一层CRC32爆破,附上神器:https://github.com/theonlypwner/crc32可以解6位CRC爆破三次就可以得到key
N0puple
·
2018-10-17 21:51
CTF-wp
密码学
BugKu
文件上传测试
今天在
BugKu
刷web题的时候,遇到了一个需要文件上传的题目,叫做文件上传测试,这个方法是我之前没有和大家分享过的,今天和大家分享一下个关于文件上传测试这道题目所涉及的有关过程,我是一个刚入坑的小白
CliffordWR
·
2018-10-08 22:33
CTF
WriteUp
文件上传
CTF之代码审计汇总
最近在做
bugku
中代码审计的题目,发现了web题目中存在着大量的php漏洞以及弱类型函数的绕过问题,现在借着
bugku
中的题目来统一的整理一下。希望通过整理可以温故而知新。
CliffordWR
·
2018-10-08 22:57
CTF
WriteUp
web
web中的post、get传参
CTF比赛中web题型里经常会见到post和get传参的题型,原理也很简单,在get传参的时候,要构造URL拿一道
BugKu
中的题来举个例子很明显,只需要构造what=get,回车,即可得到答案。
CliffordWR
·
2018-10-08 20:28
CTF
WriteUp
web
web中的post、get传参
CTF比赛中web题型里经常会见到post和get传参的题型,原理也很简单,在get传参的时候,要构造URL拿一道
BugKu
中的题来举个例子很明显,只需要构造what=get,回车,即可得到答案。
CliffordWR
·
2018-10-08 20:28
CTF
WriteUp
web
BugKu
——成绩单
sql注入在CTF类竞赛中占着很大的比重,在做
BugKu
的题目的过程中恰好遇到了一个没有任何过滤,直接注入的题目,因为没有过滤,只是单纯的考察sql注入,所以步骤比较固定,语句也比较简单1.首先,爆列数
CliffordWR
·
2018-10-08 20:22
CTF
WriteUp
web
BugKu
——成绩单
sql注入在CTF类竞赛中占着很大的比重,在做
BugKu
的题目的过程中恰好遇到了一个没有任何过滤,直接注入的题目,因为没有过滤,只是单纯的考察sql注入,所以步骤比较固定,语句也比较简单1.首先,爆列数
CliffordWR
·
2018-10-08 20:22
CTF
WriteUp
web
BugKu
——前女友
这是
bugku
里面的一道代码审计的题目,里面综合了两个php函数漏洞,md5()函数漏洞和strcmp()函数漏洞,看一下代码。
CliffordWR
·
2018-10-08 19:57
代码审计
web
php函数绕过
CTF
WriteUp
web
BugKu
——前女友
这是
bugku
里面的一道代码审计的题目,里面综合了两个php函数漏洞,md5()函数漏洞和strcmp()函数漏洞,看一下代码。
CliffordWR
·
2018-10-08 19:57
代码审计
web
php函数绕过
CTF
WriteUp
web
上一页
18
19
20
21
22
23
24
25
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他