HCTF

兵者多诡(HCTF2016)

/CTFer_Zero_one题目简介解题过程登录首页提交png图片上传抓包,可以看到是向upload文件提交数据在fp参数中尝试伪协议读取home.php文件http://127.0.0.1:88/HCTF2016
Мартин.·2023-09-05 07:10

BUUCTF web第一页WP

目录[极客大挑战2019]EasySQL[HCTF2018]WarmUp[极客大挑战2019]Havefun[ACTF2020新生赛]Include[强网杯2019]随便注[ACTF2020新生赛]Exec
MUNG东隅·2023-08-13 23:02

[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)

[CTF从0到1学习]BUUCTFWEB部分wp(待完善)文章目录[CTF从0到1学习]BUUCTFWEB部分wp(待完善)[HCTF2018]WarmUp[极客大挑战2019]EasySQL[极客大挑战
南岸青栀*·2023-08-13 23:32

BUUCTF web wp (五)

文章目录[ACTF2020新生赛]BackupFile——备份文件[HCTF2018]admin方法1方法2[极客大挑战2019]BuyFlag——PHP函漏洞[ACTF2020新生赛]BackupFile
poggioxay·2023-08-13 23:31

BUUCTF刷题十一道(05)

文章目录[HCTF2018]adminflasksession[网鼎杯2018]Fakebook[NCTF2019]FakeXMLcookbook[安洵杯2019]easy_serialize_php[
Sprint#51264·2023-06-23 11:11

[HCTF 2018]WarmUp1

拿到题目后是一个滑稽的图像,通过开发者工具查看源码获得提示访问指定页面后得到一串PHP代码,接下来尝试做代码审计"source.php","hint"=>"hint.php"];if(!isset($page)||!is_string($page)){echo"youcan'tseeit";returnfalse;}if(in_array($page,$whitelist)){returntrue
陈艺秋·2023-06-09 05:26

NSSCTF之Web篇刷题记录(13)

NSSCTF之Web篇刷题记录[12][GXYCTF2019]BabyUpload:[GKCTF2020]cve版签到:[HCTF2018]Warmup:[GDOUCTF2023]泄露的伪装:[羊城杯2020
落寞的魚丶·2023-06-08 16:13

BUUCTF--Web篇详细wp

BUUCTF--Web篇详细wp[极客大挑战2019]EasySQL[极客大挑战2019]Havefun[HCTF2018]WarmUp[ACTF2020新生赛]IncludeCTF平台:https:/
落寞的魚丶·2023-04-10 18:17

BUUCTF-[HCTF 2018]admin1

题目分析打开环境,页面啥也没有,日常查看源代码提示说你不是admin,所以这题可能是我们为admin才可以得到flag在login页面找到登录框刚开始以为是sql注入,直接万能密码;结果试了几种方法发现不是报错就是提示用户名密码错误没有结果之后,去到register注册页面注册一个账户,在changepassword那里查看源码,可以看到有提示去github上下载打开源码,找到index.html
_Monica_·2023-04-08 04:04

Web安全学习week6

[HCTF2018]WarmUp开局一个滑稽直接看源码进入后发现有个hint再进那个flag康康好家伙看来就是在之前那个php里面的东西了代码审计一波得到flag2.BUUCTF-[极客大挑战2019]
「已注销」·2023-03-15 01:47

HCTF2018-easy_exp

easy_exp前些天参加了HCTF2018的线上赛,一如既往的被大佬们吊打。
apossin·2023-02-01 22:47

L3HCTF bypass出题人视角

@yzddmr6自己在L3HCTF中出了一道java上传绕过题目bypass。其中题目中的一些trick不仅仅是用于CTF出题,对于实战渗透也是有一定的帮助。
yzddMr6·2023-02-01 02:07

蚁景网安 CTF竞赛 HCTF-Final-Misc200

本实验选自XCTF-HCTF杭州(杭电)站选拔赛决赛,实验综合了Wireshark网络数据包流量分析、doc文档末尾附加数据识别、DES解密、PDF隐写相关的知识。
星川皆无恙·2023-01-12 10:36

BUUCTFwed

文章目录前言一、知识点无参数函数SSTI模板注入[PHP]MD5比较漏洞弱比较、强比较、强碰撞unicode欺骗二、做题解析[极客大挑战2019]EasySQL1[HCTF2018]WarmUp1[极客大挑战
k5ha·2022-12-07 00:56

【CTF】buuctf web 详解(持续更新)

buuctfweb[HCTF2018]WarmUp[极客大挑战2019]EasySQL[极客大挑战2019]Havefun[强网杯2019]随便注[ACTF2020新生赛]Include[SUCTF2019
吃_早餐·2022-10-25 14:08

网络安全web方向入门题合集

网络安全web方向入门题合集[HCTF2018]WarmUp验证[极客大挑战2019]EasySQL[极客大挑战2019]Havefun[强网杯2019]随便注前期工作堆叠注入查flag位置花式绕过读取
dra_p0p3n·2022-06-17 22:38

XCTF-L3HCTF2021 DeepDarkFantasy write up

XCTF-L3HCTF2021DeepDarkFantasywriteupDeepDarkFantasy题目描述和hint如下原始附件如下:链接:https://pan.baidu.com/s/1Rs1A6viKUXuNvxExAvtvSQ
AliceNCsyuk·2022-04-19 07:56

个人能力认证 | 11月14日,独星闪耀

第七届XCTF国际联赛分站赛L3HCTF2021开启在即,官宣文章发出后,一如既往的受到大家的热情支持,这对于我们来说,是一种莫大的鼓舞。2013年,Blue-Lotus(蓝莲
Cyberpeace·2022-03-20 19:01

web buuctf [HCTF 2018]admin1

查看首页源代码,有注释考虑这道题很有可能是用admin或者伪造admin进行登录,用admin进行登录,随便填写密码进不去,发现页面有注册选项,用admin注册提示已经被注册方法一:burp爆破进入登录界面,用户名输admin,密码随便填,抓包对密码进行爆破;爆破之后,提示429和302,可以看一下429的response,提示的是太多请求的问题,更改options中的选项控制数据量,我因为正好吃
半杯雨水敬过客·2022-03-14 14:01

2018 HCTF the_end

伪造vtables分析题目,利用点很明确在main函数中:void__fastcall__noreturnmain(__int64a1,char**a2,char**a3){signedinti;//[rsp+4h][rbp-Ch]void*buf;//[rsp+8h][rbp-8h]sleep(0);printf("hereisagift%p,goodluck;)\n",&sleep);fflu
Nevv·2022-02-19 12:47

BUUCTF_WEB

[HCTF2018]WarmUp打开链接后是一张图片,看看源码提示source.php,进入source.php后看到一串的php代码,接下来就是代码审计了。
佛系小沈·2022-02-05 21:07

HCTF2018 WarmUp

buuctf第一题。打开页面看到一个滑稽表情,f12发现提示source.php进入该页面,发现是代码审计,代码如下:"source.php","hint"=>"hint.php"];if(!isset($page)||!is_string($page)){echo"youcan'tseeit";returnfalse;}if(in_array($page,$whitelist)){returnt
XD_whYe·2022-02-05 12:36

HCTFadmin--关于flasksession的伪造和unicode的欺骗

文章目录CTF题目非预期解预期解解法1---flasksession伪造解法2----Unicode欺骗解法3---条件竞争其他知识点CTF题目地址:HCTF-admin非预期解可以直接登录,利用弱口令
Z3eyOnd·2021-11-07 21:09

BUUCTF Web [极客大挑战 2019]EasySQL

[HCTF2018]WarmUp一、题目简介二、思路分析三、解题过程1)使用万能账号2)提交flag四、总结一、题目简介进入题目链接是一个登录界面,很明显,这一关是一个「SQL注入漏洞」。
士别三日wyx·2021-10-20 22:54

HCTF 2018-WEB-WarmUp

复现地址https://buuoj.cn/challenges#[HCTF%202018]WarmUp本题考察的是phpMyAdmin4.8.xbefore4.8.2本地文件包含漏洞编号CVE-2018
le3f·2021-06-21 21:10

BUUCTF——[HCTF 2018]admin

解2——Unicode编码欺骗解3——(非预期)弱口令爆破参考完利用点FlasksessionUnicode编码欺骗(非预期)弱口令爆破审题打开环境,主页仅提供了login和register两项服务,hctf
Ho1aAs·2021-05-16 16:17

BUU-WEB-[HCTF 2018]admin

[HCTF2018]admin方法一:flasksession欺骗方法二:Unicode欺骗方法三:爆破主页标题有一个超链接,点击去看一看。啥也没找到,于是返回主页查看源码。
TzZzEZ-web·2021-05-09 20:46

2017HCTF 三道Web题解

总结:今年HCTF比较难,总共两天就作出三道题,第二关的js逆向题更是做了快一天了,之前对js调试没有接触过,就一直用chrome的调试窗口调试js,看了一天眼睛都看花了,最后把js所有逻辑都分析了一遍才艰难的做出来
江sir·2021-05-09 05:11

2018 HCTF the_end

1.题目描述只有任意5字节地址写入可用,且给了libc基址.除了canary保护全开2.思路写入2字节修改vtable指向别的可写可读处.写入3字节修改某函数为one_gadget知识点:exit中会调用setbuf,因此将setbuf改为one-gadget.exp:frompwnimport*context.log_level="debug"libc=ELF("/lib/x86_64-linu
fIappy·2021-04-18 16:16

BUUCTF刷题记录(持续更新中~)

文章目录[HCTF2018]WarmUp[极客大挑战2019]EasySQL[强网杯2019]随便注[极客大挑战2019]Havefun[SUCTF2019]EasySQL[ACTF2020新生赛]Include
xiaolong22333·2021-04-03 22:34

BUUCTF Web 第一页全部Write ups

更多笔记,可以关注yym68686.top目录[极客大挑战2019]Http[ACTF2020新生赛]Exec[极客大挑战2019]SecretFile[HCTF2018]WarmUpReferences
煜明·2021-03-26 20:27

[HCTF 2018]admin

文章目录Flask_session伪造Unicode欺骗条件竞争打开网页,发现注册与登录两个功能随手注册一个,发现页面源码中提示:youarenotadmin所以思路就是登录admin账号Flask_session伪造注意到session的值很有特点:.eJw9kEFrwkAUhP9K2bOHZLWXgIfIpsHA2yWyMbx3EatJsy9ZC6YluuJ_b_DQ4wzMx8w8xKG9N
D.MIND·2021-03-07 01:16

java amp 0xff6_BuuCTF Web Writeup 第一部分

[HCTF2018]WarmUp查看源码提示source.php,并在$whitelist=["source"=>"source.php","hint"=>"hint.php"];代码提示下同时访问hint.php
之深·2021-02-27 22:22

HCTF 2018admin ——flask session伪造unicode伪造

[HCTF2018]admin——flasksession伪造||unicode伪造猜测要么从url栏,要么从注册登录部分注入猜admin的密码123,对了本题结束。
4pri1·2021-02-10 17:29

BUUWEB [HCTF 2018]WarmUp

对于我这种新人菜鸡来说,如果拿到web题不知道是哪方面的话,一般就是F12查看源代码,抓包,扫描挨个试试看能找到什么线索。在buu上这道题给了提示,是代码审计,打开网址后是一个滑稽,没有代码,既然是代码审计,网页又没有显示代码也没文件,那一般就是审计源代码,查看页面源代码,可以发现一个明显的提示,source.php一般就是存放源代码的文件了,在原网页上包含该文件,即可看到源代码。审计是我们需要先
star-feather·2021-01-16 17:11

BUUCTF [HCTF 2018]admin 1

BUUCTF[HCTF2018]admin1进去后是这样,右上角有注册登录。看看主页源码。看来如果是admin(管理员)会有东西不同。
wow小华·2021-01-15 19:31

BUUCTF知识点总结(一)

[HCTF2018]WarmUp1对应CVE-2018-12613:总结:文件包含并且可以目录穿越,在本地复现时如果服务器为windows会报错,原因是windows文件命名规则中规定了文件名不能出现特殊字符
吹风基·2020-12-01 17:02

buuctf_pythonWeb_[HCTF 2018]admin 1(法一)

题目:[HCTF2018]admin1出处:https://buuoj.cn/challenges知识点:1.发现源码泄露的能力2.python审计题面:解题步骤:法一:这个题目给了一个有着注册、登录、
老咸鱼_ratear·2020-11-18 22:33

BMZCTF-Web WriteUp

Web题hctf_2018_warmup打开后是一张图片。查看源码发现source.php访问,得到一串代码:"source.php","hint"=>"hint.php"];if(!
Crazy198410·2020-11-15 23:16

[HCTF 2018]admin 1

前言这题的三种方法都是姿势盲区。。。。第三种方法只给个介绍。。因为好像复现的话不能成功,但是学习学习这种方法的思想。姿势总结flasksession伪造unicode欺骗条件竞争方法一:flasksession伪造我做题目的时候一直以为这题应该是SQL注入。。。在登录那里被卡了好久。。最后发现屁用都没有。。首先!我们先注册一个再登录,在changepassword那里查看源码,可以看到有提示:但是
bfengj·2020-10-20 20:42

CTF [HCTF 2018]WarmUp writeup mb_substr()函数

滑稽镇楼,哈哈。一进来就是个大滑稽,有点意思,审计看元素。访问source.php。"source.php","hint"=>"hint.php"];if(!isset($page)||!is_string($page)){echo"youcan'tseeit";returnfalse;}if(in_array($page,$whitelist)){returntrue;}$_page=mb_su
baynk·2020-09-16 19:32

buuctf web wiriteup

文章目录[HCTF2018]WarmUp[强网杯2019]随便注[SUCTF2019]EasySQL[极客大挑战2019]EasySQL[极客大挑战2019]Havefun[护网杯2018]easy_tornado
Dear Moses·2020-09-14 17:23

[原题复现]2019强网杯WEB-随便注

HCTF2018Warmup原题复现:https://gitee.com/xiaohua1998/qwb_2019_supersqli考察知识点:SQL注入漏洞-堆叠注入线上平台:https://buuoj.cn
笑花大王·2020-09-14 08:23

2016hctf writeup

MISC杂项签到http://139.224.54.27/webco1a/+_+.pcapng用wireshark打开流量包,追踪TCP流,发现是一个webshell的流量,看到webshell控制端查看了远程服务器上的两个关键文件:function.py和flagcatfunction.py:#!/usr/bin/envpython#coding:utf-8__author__='Aklis'f
szuaurora·2020-08-26 08:43

BUUCTF刷题记录

文章目录web:[强网杯2019]随便注[护网杯2018]easy_tornado[SUCTF2019]EasySQL[HCTF2018]admin[RoarCTF2019]EasyCalc[强网杯2019
bmth666·2020-08-25 17:33

BUUOJweb刷题wp(一)

[HCTF2018]WarmUp(php&代码审计)打开source.php康康源代码:有注释的是从其他wp上面看来的"source.php","hint"=>"hint.php"];if(!
Theseus_sky·2020-08-25 17:19

西普实验吧部分逆向题writeup(一)

下载程序,先用PEID查一下发现没壳,就是C#写的程序再用IDA打开,往下拉几行即可看到KEYKEY:hctf{bABy_CtsvlmE_!}
caterpillarous·2020-08-24 05:48

hctf[pwn]babyprintf_ver2

0x01程序分析程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。这个data段到底存的是什么呢?pwndbg>print$rbx+$rax$1=0x555555756011pwndbg>x/50xg0x5555557560110x555555756011:0x72006766646473640x200000000000646c0x555555756021:0x0000007f
九层台·2020-08-24 05:20

CTF---安全杂项入门第一题 丘比龙的最爱

丘比龙的最爱分值:10来源:2014HCTF难度:易参与人数:4498人GetFlag:1366人答题人数:1384人解题通过率:99%传说,丘比龙是丘比特的弟弟,丘比龙是一只小爱神,虽然有两只翅膀,但因为吃多了
weixin_33910759·2020-08-22 19:46

buuctf 基础sql Group_concat() 伪协议 ᴬᴰᴹᴵᴺUnicode欺骗 各种绕过(内敛绕过) 菜刀

文章目录[极客大挑战2019]LoveSQL[ACTF2020新生赛]Include-[HCTF2018]admin[GXYCTF2019]PingPingPing[极客大挑战2019]Knife[极客大挑战
Tower2358·2020-08-19 17:15
上一页 1 2 3 4 5 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他