HCTF

HCTF 2017 writeup(web)

第一次AKweb,大佬们很厉害。。easy_sign_in直接看证书,看到一个flagin,后面有一个ip,http://123.206.81.217/,访问得到flagbabycrack网页里面有个=_=.js,先格式化js,梳理之后逻辑大概是这样的:_0x180a存储了一些包括各种函数名的字符串(经过一次移位)_0xa180以函数的形式取_0x180a的内容_0x2e2f8d同样存储了一些字符
zhazhami·2019-12-20 20:36

HCTF_2018-Writeup【web题】

HCTF_2018-Writeup赛题来自:BUUCTFBy:Mirror王宇阳WarmUp:打开赛题的页面源码(F12)Document源码中提示了source.php,访问该文件获得了源码:源码分析
Mirror王宇阳·2019-12-12 22:00

BUUCTF-[HCTF 2018]WarmUp

php中可以使用strpos函数与mb_strpos函数获取指定的字符串在别一个字符串中首次出现的位置,也可以使用它们判断一串字符串中是否包含别一个字符串.PHPstrpos()函数查找"php"在字符串中第一次出现的位置:运行结果:9PHPmb_substr()函数定义和用法mb_substr()函数返回字符串的一部分,之前我们学过substr()函数,它只针对英文字符,如果要分割的中文文字则需
王叹之·2019-11-12 16:00

HCTF2017 Level2的两道pwn题

0x00一些歪道理比赛时pwn是肯定pwn不出来的,只有靠赛后复现才能够勉强维持得了尊严。不过确实能学到一些知识啊~0x01Guestbook题目信息该题目是一个Linux下32位的动态链接可执行文件并且checksec显示开了所有的保护机制。程序有add、see、del三个功能,能够增加客人、查看客人、删除客人。checksec漏洞位置通过ida反汇编分析可得到数据结构如下:structgues
Fish_o0O·2019-11-08 18:37

[HCTF2014]FIND

题目链接:http://oj.xctf.org.cn/problems/10分析:下载题目提供的文件stego_final.png文件名:Steg(提示为信隐术)第一步:属性查看并没有有用信息第二步:16进制分析没有有用信息第三步:StegSolve分析通道信息在Alphaplane0通道中发现二维码Paste_Image.png但是正好黑白颠倒使用ps反色得到正常二维码方法1.手机扫描二维码得到
王一航·2019-11-05 12:31

BUUCTF web(一)

[HCTF2018]WarmUp查看源码,发现,打开发现源码";}//这里我换了下位置,方便自己看classemmm{publicstaticfunctioncheckFile(&$page){#flagnothere
~Lemon·2019-10-14 16:47

HCTF2018 智能合约两则 Writeup

知道创宇404区块链安全研究团队时间:2018年11月12日如果你想第一时间了解漏洞资讯,可以关注我们的知道创宇Paper:https://paper.seebug.org/740/这次比赛为了顺应潮流,HCTF
知道创宇KCSC·2019-10-08 17:38

HCTF2018 部分 web 题目 Writeup

作者:LoRexxar’@知道创宇404实验室时间:2018年11月14日如果你想第一时间了解漏洞资讯,可以关注我们的知道创宇Paper:https://paper.seebug.org/744/HCTF2018
知道创宇KCSC·2019-10-08 17:19

hctf2018-admin

继续找线索,最后发现在修改密码的源码中有:https://github.com/woadsl1234/hctf_flask/这个是网站用的flask源码,然后clone下来就可以进行代码审计了。
Sea_Sand·2019-09-26 22:34

unicode欺骗—— hctf - admin

原文链接:http://www.cnblogs.com/MisakaYuii-Z/p/11483071.html查看源代码,发现提示要以管理员身份登陆尝试注册管理员账号,提示Theusernamehasbeenregistered于是尝试随便注册一个账号,发现注册成功,并能够登陆根据页面提示,猜测是通过更改admin账号的密码获取flag于是进入changepassword界面,读取源码发现提示进
ancan8807·2019-09-07 21:00

unicode欺骗—— hctf - admin

查看源代码,发现提示要以管理员身份登陆尝试注册管理员账号,提示Theusernamehasbeenregistered于是尝试随便注册一个账号,发现注册成功,并能够登陆根据页面提示,猜测是通过更改admin账号的密码获取flag于是进入changepassword界面,读取源码发现提示进入之后是这个网页的源码,通过观察发现代码中重新定义并使用了strlow函数并且运用了nodeprep.prepa
seven昔年·2019-09-07 21:00

刷题记录:2018HCTF&admin

目录刷题记录:2018HCTF&admin一、前言二、正文1、解题过程2、解题方法刷题记录:2018HCTF&admin一、前言经过一个暑假的学习,算是正经一条web狗了,不过还是菜的真实。
Sy1j·2019-08-30 00:00

BUUOJ刷题

0x01WarmUp出处:HCTF2018"source.php","hint"=>"hint.php"];if(!isset($page)||!
蓝小俊·2019-08-27 15:58

Bctf Blockchain 两则详解——带你玩转区块链

近来各大ctf中,纷纷冒出了一个新题型——Blockchain,从HCTF开始到BCTF,作为一只web狗,还是要紧跟时代学习一下(毕竟web狗啥都要学),今天我们就来详细讨论一下这两题的解法,以及用到的知识点
FLy_鹏程万里·2019-01-07 16:51

HCTF两道web题目

HCTFWEBwp官方Writeup:[https://bysec.io/hctf/writeup.html]所有源码:[https://github.com/vidar-team/HCTF2018]HCTF
yangc随想·2018-11-15 15:49

HCTF-2018-Official-Writeup

转载至官方writeupWebWarmupweb签到首先打开然后看F12啦,注释里提示是source.php,php审计,问题出在$_page=urldecode($page);$_page=mb_substr($_page,0,mb_strpos($_page.'?','?'));if(in_array($_page,$whitelist)){returntrue;}用%253f就可以绕过了,再
怀念_过去·2018-11-14 18:07

2018.11.10HCTF warmup

这道题其实是一道签到题,我们查看题目源代码,会发现提示我们查看source.php,然后我们审查源代码:"source.php","hint"=>"hint.php"];if(!isset($page)||!is_string($page)){echo"youcan'tseeit";returnfalse;}if(in_array($page,$whitelist)){returntrue;}$_
virtu41·2018-11-13 23:24

HCTF2016 ATfeild复现和对redis的利用的思考

0x01HCTF2016ATfeild复现1环境搭建2搞事情21pythonurllib头注入操作redis22ssrf绕过与利用23构造反弹shell0x02关于redis未授权访问的利用方式1爆破键值
Bendawang·2016-12-09 20:20

2016hctf Writeup.md

  第一次和同学以战队MiRag3参加XCTF联赛,经验不足,技术较弱,以后会加倍努力~!留个爪纪念一下~~WEB2099年的flag直接burpsuit截断,修改消息请求头如下:直接得到flagRESTFUL这里主要考察的是RESTFUL格式index.php/参数/值然后根据提示只要putmoney大于12450即可兵者多诡题目说明为上传图片,首先上传一个图片试试。点击上传图片,发现urlht
Ni9htMar3·2016-12-05 17:28

2016HCTF giligili writeup

题目网址:http://re4js.hctf.io/本题主要考察js及编程基本知识,包括js函数、进制转换、异或等。
nidalaowo·2016-11-30 22:58

HCTF 2016 writeup——web篇

做了5个web题,分享一下思路。。Level-11.2099年的flag打开链接,提示需要ios99才能得到flag,源码的注释中提示要POST,那么就修改User-Agent头为ios的头,版本改成99就好了。Level-21.RESTFUL打开题目链接链接,有这么一句{"message":""Pleasemesomemorethan!""}很容易想到,需要使用PUT方法,并传递一个大于1245
zhazhami·2016-11-29 01:37

hctf 2016 write up

今年的hctf与几个哥们儿一起组队玩了一下。但是成绩比较惨淡。但是还是把自己的writeup写一下。以做纪念。签到题签到的题目是一个pcap流量包。
Shinpachi8·2016-11-27 21:28

xctf --Hctf2014 Quals write up

描述猫流大大发现一个女神,你能告诉我女神的名字么(名字即是flag)nvshen.zipSolution:Extractthefileandwecouldfindatxtwhichcontainsastringlikebase64.Decodeit:importbase64 inpt=open("nvshen.txt") out=open("a.out","w") u=inpt.read()
philippica·2016-02-10 15:00

西普实验吧部分逆向题writeup(一)

下载程序,先用PEID查一下发现没壳,就是C#写的程序再用IDA打开,往下拉几行即可看到KEYKEY: hctf{bABy_CtsvlmE_!}2. 
caterpillarous·2015-12-19 20:00

周边杂记_hctf随记

SQL注入前提:带参数的动态网页+访问了数据库+没有字符过滤动态网页的交互过程是,服务器.asp接受参数并运行,运行结果还给网页http://www.cnblogs.com/tanshuicai/archive/2010/02/03/1664900.htmlXSS攻击XSS,crosssitescriping,跨站脚本(CSS被层叠样式表给抢掉了)通过正常网页交互往web页面中插入恶意代码,受害访
qq_22717679·2015-07-21 10:00

我的CTF之旅(四)

题目来源:HCTF2014QUALS描述:57R9S980RNOS49973S757PQO9S80Q36P听说丘比龙一口气能吃”13”个甜甜圈呢!
StevenKe404·2015-07-05 14:25
上一页 1 2 3 4 5 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他