bugku

bugku CTF练习:眼见非实 writeup

题目是这样的点击下载。下载后是一个眼见非实.docx的文件。直接打开是不行的。感觉题目提示眼见非实。猜测文件类型应该是不是docx,使用命令查看。如果没有file命令。就要在Linux上执行。macos默认自带file命令查看文件类型file眼见非实.docx提示说是压缩文件。这个就比较简单明了。cp眼见非实.docx眼见非实.zip或者直接把后缀改成.zip,用压缩软件解压。然后解压。发现是一个
baby-shark·2023-11-30 18:51

bugku-渗透测试1通关 wp

前言题型取自bugku-渗透测试1https://ctf.bugku.com/ctfplus/detail/id/1.html内容包含:查看js源码、上传webshell、pwn、Nday利用、内网代理
XingHe_0·2023-11-29 23:47

telnet-MISC-bugku-解题步骤

——CTF解题专栏——题目信息:题目:这是一张单纯的图片作者:未知提示:无解题附件:解题思路:(⊙﹏⊙)这是个什么文件pcap文件分析_pcap文件打开-CSDN博客查了一下,但没看懂,好像是二进制啥玩意,那我们就用010Editor和记事本看一下是什么东西。解题步骤:一、010Editor尝试(⊙﹏⊙)完球,这字节头没见过啊!翻到了最后也没发现没有藏料。用记事本看看是个什么玩意er。二、记事本尝
weoptions·2023-11-28 04:02

隐写-MISC-bugku-解题步骤

——CTF解题专栏——题目信息:题目:隐写作者:CyberFl0wer提示:无解题附件:解题思路:这张图片一看!哦呦~背景还是透明的,那我肯定要尝试给他换换色(不可以色色.jpg),这次先用StegSolve看一看,不行再换其他的。解题步骤:一、StegSolve尝试StegSolve启动!!!(尴尬.jpg)我是点大于号点到头疼了,单身二十多年的手速,笑X完全没看到东西,那只能按照正常的步骤了。
weoptions·2023-11-28 04:01

这是一张单纯的图片-MISC-bugku-解题步骤

——CTF解题专栏——题目信息:题目:这是一张单纯的图片作者:harry提示:无解题附件:解题思路:图片解题三板斧winwalk、010Editor、Stegsolve,一一尝试。解题步骤:一、winwalk尝试将文件拖到kali里面,binwalk尝试一下。很好,完全没东西,用010(010Editor)看看。二、010尝试用010打开图片。emmm......发现这个0000h好像不像是个jp
weoptions·2023-11-28 04:31

眼见非实-MISC-bugku-解题步骤

——CTF解题专栏——题目信息:题目:眼见非实作者:harry提示:无解题附件:解题思路:眼见非实???难道要用手摸一下?(开玩笑.jpg)我想这是先看看里面的内容再说,再去010Editor看下是个什么玩意儿。解题步骤:一、内容解析打开的时候显示文件损坏,强行打开显示乱码,我们“强”行打开显示果然是乱码(强人锁男.jpg)能看见什么什么,文件路径?还是url?,不管了,用010Editor看下。
weoptions·2023-11-28 04:49

Bugku 图片里的中文【MISC】

从0开始学CTF[MISC篇]Bugku图片里的中文【MISC】大家好,作为一个CTF方面的小白,以后我也希望每做一次题目就和大家分享分享自己的解题过程今天我们要讲的是:好久不见了,大家,因为最近事情老多了
酱油牌酱油菌·2023-11-22 19:52

Bugku CTF 每日一题 baby_flag.txt

baby_flag.txt打开发现是个txt文件,打开后发现有图片前缀,改后缀为jpg发现一张图片,在最后发现了一串数字,发现是0-f,应该是16进制,但是翻译成ascii后用base解不了密,知道发现了上面有flag的提示然后再往上一点看到了熟悉的raR!应该是压缩包了,但是rar压缩包的前缀应该是Rar!于是尝试改下前缀再提取,果然提取出一个压缩包,但是需要密码这时想到了题目的提示:还能再高亿
彼岸花苏陌·2023-11-22 19:52

BugkuCTF-MISC题baby_flag.txt

下载附件得到一个压缩包baby_flag.zip打开得到baby_flag.txt,直接点击打开发现乱码通过010editor打开观察发现这是一个图片文件将文件后缀改为.jpeg得到一张图片通过binwalk-e…未分离出有价值的信息在010editor发现有RAR压缩包的头将这一部分数据复制下来另存为一个后缀为.rar的文件但是发现压缩包打不开…发现其文件头存在问题,Rar的文件头一般是5261
彬彬有礼am_03·2023-11-22 19:49

Bugku——三色绘恋——Misc

大家好,今天有幸与大家分享一下一道Misc的题目1.打开压缩包,发现是一个图片,养成习惯先看图片属性,没发现什么,其实看一下大小,应该猜出有隐藏图片或者压缩包,使用binwalk打开。发现有一个压缩包里面是flag,因该是答案了,一开始想图省事爆破发现纳费时间,winhex打开以为是伪加密,是我太天真了,再用stegsolve也没发现什么,原来往往越复杂的越简单,好吧,忽略图片的宽高winhex打
来碗面加个小孩·2023-11-22 19:49

Bugku——game1——web

大家好,今天带大家来玩一个盖房子游戏,大家玩玩看说不定能拿到flag,~~哈哈哈,其实分很高才行哦,好了言归正传,首先试着自己玩一下,F12查看一下发现有个显示分数的,相信道友和我想的一样只要分数到了过关的分数就能拿到你想要的东西。如果你多玩几把会发现分数在变还有后面在变,当看到这个格式时我发现有点像base64,再仔细发现zM后面的数字在动而zM没有,好,我们其实大胆一点答案已经可以做出来了,但
来碗面加个小孩·2023-11-22 19:48

Bugku——网站被黑——Web

大家好,我是小碗很高兴与大家分享一道web的解题思路,希望大家多多关照。首先拿到web的题目先查看源代码(F12),发现并没有我们需要的,所以我们来扫描一下网站看看有什么隐藏目录,这里我推荐使用dirsearch,主要是简单,方便。如果需要下载https://github.com/maurosoria/dirsearch这个是需要编译环境的大家可以查阅资料,如果不懂的可以来问小碗,随时欢迎,嘻嘻~
来碗面加个小孩·2023-11-22 19:48

Bugku——Simple_SSTI_1——web

网上有很多的writeup,但我决定也写个,所以作为菜鸟的我如果有什么错的,希望大佬们喷轻点,先谢谢了好了回到题目里,首先打开是要求我们传一个参数flag进去我们打开源代码看一下(F12或ctrl+u)发现了这句话让我们在flask中设置一个secret_key变量,翻看别的大佬wp得知这个叫SSTI模板注入具体查看-->模板注入所以我们建立一个SECRET_KEY,上方模板注入直接访问URL+?
来碗面加个小孩·2023-11-22 19:18

Bugku——瑞士军刀——pwn

题目给我们ncip端口接下来我们只要访问他就行了打开kali进入终端点击进入(也可以点击鼠标右键)进入终端窗口输入ncip端口回车并输入查找命令ls(可以了解一些其他的==>基本命令)我们可以很清楚看到有flag文件,进行抓取使用命令cat相应文件--->catflag,得到flag继续加油哦!!!!
来碗面加个小孩·2023-11-22 19:18

Bugku——简单取证1——Misc

从零基础开始学CTF[MISC篇]Bugku简单取证1【MISC】作为小白一开始根据题意在文件中寻找data,发现根本找不到(掀桌子~~呜呜),后来看到大佬的wp才知道要用到mimikatz,该测试工具详情查看
来碗面加个小孩·2023-11-22 19:18

bugkuctf——baby_flag.txt——Misc

大家好,很高兴与你们分享baby_flag.txt这题的wp,如果有什么不对希望大家多多指点,谢谢啦。到开文件发现都是txt文件,打开看看嘛,并没有那么多文字,这里猜是不是txt格式不对,用winhex打开发现之前是jpg的格式改一下文件类型改成jpg根据题目提示这里因该是要改图片的高度寻找ffc0后面一般是图片宽高把高改成1000(其实我试了很多次都是高一点点)发现有一串字符这怎么看都不像是fl
来碗面加个小孩·2023-11-22 19:47

3-8 靶场 / php / docker

1、BugkuCTF(经典靶场,难度适中,适合入门刷题,题量大)https://ctf.bugku.com/2、XCTF攻防世界:https://adworld.xctf.org.cn/t
Life And Death War·2023-11-22 15:08

第四周所学

校赛,很刺激,很好玩,也体验了一把蹲大牢的感觉学习了简单的sql注入,进一步了解了一句话木马,还掌握了一些正则匹配,弱口令爆破,以及一些最简单的逆向入门1.攻防世界batmanweb(考察正则匹配)2.bugku
ANYOUZHEN·2023-11-21 17:39

bugku game1

首先我们打开游戏,发现是个盖楼游戏,但一般来说要玩到一个阈值时,他才会爆出flag,但是以我们的技术根本不可能玩到阈值,我们随便玩了一下游戏,玩到了25分,抓包后我们观察他的sign值为zMMjU===,然后通过多次玩游戏,我们发现他的sign值为zM+得分(base64编码)+==组成要想知道阈值,我们需要写一个脚本,得知阈值为99999,然后我们将99999进行base64解码,得到OTk5O
ANYOUZHEN·2023-11-21 17:38

bugku题解记录

Flask_FileUpload看题目的意思,大概是文件上传攻击。题目页面也只有上传文件查询那么查看源代码发现只能上传png或jpg,注释里说如果你上传之后,将会用python执行查询所以编辑文本文档,写代码importos#提供了与操作系统交互的各种函数,我们可以通过这些函数调用计算机底层操作系统的部分功能来快速、高效地管理文件和目录os.system('ls/')#显示根目录下文件改为png格
CodingJazz·2023-11-20 08:16

[反序列化篇]史上最全PHP反序列化漏洞实例复现姿势详解(补充ing)

0x01实验环境靶场:pikachu+LKWA平台:bugku+攻防世界+0CTF+南邮ctf+其他环境:win10+VPS(ubuntu)+Docker工具:Burp+MantraPortable预备知识
「已注销」·2023-11-16 14:09

NewStarCTF 2023 公开赛道 Week3

WriteUp.htmlCryptoRabin’sRSA参考博客:RSA攻击之Rabin密码体制_rsarabin-CSDN博客使用轩禹一把梭了Misc阳光开朗大男孩社会主义核心价值观https://ctf.bugku.com
Fab1an·2023-11-16 14:27

BugkuWeb题目解析

BugkuWeb目录BugkuWeb1.web22、计算器3、Web基础$_GET4、web基础$_POST5、矛盾6.web38.你必须让它停下9.本地包含10、变量一11Web512头等舱13网站被黑
北岸冷若冰霜·2023-11-10 23:59

mysql %3c%3e语句优化_CTF从入门到成仙,40道bugku Write Up,看完还有什么操作搞不定! ......

CTF从入门到成仙,40道bugkuWriteUp,看完还有什么操作搞不定!本文原创作者:Passerby2,本文属i春秋原创奖励计划,未经许可禁止转载!
快乐的山歌·2023-11-08 10:04

Java-Fastjson 反序列化

简介以bugku的一道题为例:ctf.bugkuJavaFastjson漏洞验证使用python脚本测试一下漏洞存在。
Ling-cheng·2023-11-03 23:16

攻防系列——板块化刷题记录(敏感信息泄露)

目录遍历例题二:结合上传漏洞一起使用二、robots文件泄露例题:攻防世界web题:Training-WWW-Robots编辑三、泄露PHPinfo文件例题一:ctfhub的phpinfo四、备份文件下载例题一:bugku
番茄条子·2023-11-01 21:34

RSA从原理到ctf解题(解题篇Ⅰ)

bugkursa一道关于rsa常规的ctf题目(来自bugku):链接:https://ctf.bugku.com/files/98e8f374f63ee3ef4818621ceafcb78f/rsa.txtrsa2
漫谈·2023-11-01 15:44

刷题学习记录

sql注入(bugkuctf)打开显示一个登录框照常用admin用户名登录,密码随便填一个,显示密码错误接着用admin'为用户名登录,密码照样随便填,结果显示用户名不存在题目提示基于布尔的SQL盲注,
正在努力中的小白♤·2023-10-30 12:17

【图片隐写】binwalk/foremost/010editer的使用

题目来源:啊哒-BugkuCTF参考链接:【CTF/MISC】图片隐写题(binwalk/foremost/010editer配合使用)_图片隐写解题常用工具_mengmeng0510的博客-CSDN博客打开图片
访白鹿·2023-10-29 13:17

Bugku web3 详细题解

题目:Bugkuweb3:http://123.206.87.240:8002/web3/1.链接打开后,显示如下页面:点击确定又会出现下面的窗口。
日熙!·2023-10-27 01:43

BugkuCTF练习题解——Web一

文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯20.成绩单21.秋名山老司机22.速度要快23.Cookies欺骗24.Neve
Polaris@·2023-10-27 00:09

BugkuCTF 部分题解(随缘更新)

之前做的题在BugkuCTF部分题解(一)佛系更新9月1日更新了哎,就是玩、不是Base编码7月7日更新了pyjin1、CaaS16月11日更新了铁子,来一道bugku佛系更新MISC不是Base编码哎
z.volcano·2023-10-26 13:23

BUGKU - 渗透测试1

场景1源代码场景2admin进入后台账号密码adminadmin场景3这里确实没想到。。。。去php执行的地方然后打开开发者工具进行抓包发现执行后是存入php文件我们写入一句话即可这里我上传哥斯拉链接即可场景4根据提示去找到数据库链接功能场景5PWN题目。。。。。没想到渗透也要搞pwn题目呀。。。以后补上吧下一题场景6访问8080原本想爆破但是工具发现了shiro那么工具扫一下吧直接catflag
双层小牛堡·2023-10-26 13:41

bugku 流量分析之信息提取

题目给出提示,使用了sqlmapsql注入,然后搜索下http查出来,简单分析下,这是一个sql盲注http中响应全部都是200,也就是说,我们不能通过响应状态来判断,sqlmap先通过注入判断出表及字段,然后再通过盲注判断flag的每一个字符的ascii码。前面那些判断表等都不管,只管后面盲注出的数据先这样过滤出求数据第一个字符的%2C1%2C1%29%29%3E即,1,1))>原来是1ANDO
为之。·2023-10-25 13:24

【本地文件包含】一些利用姿势(未完待续)

0x01普通远程文件包含这是我接触web最先碰到的一种,bugku中http://120.24.86.145:8005/post/的就利用了此类文件包含#!php远程代码执行?
queena_·2023-10-25 04:50

Bugku CTF web 你必须让他停下来 解题思路

启动场景发现网页一直在刷新,按F12查看源代码可以在某一次网页刷新时看到flag但是复制不了这时你可以禁用浏览器JavaScript页面特效,再次启动场景并进行手动刷新,按F12,在某一次刷新时就可以拿到flag!
白猫a٩·2023-10-23 06:28

Bugku CTF Flask_FileUpload 解题思路

启动场景发现需要上传图片格式为jpg或png其次注释显示上传文件以python作为返回结果由此我们还需要在jpg或png文件中做文章需要了解system函数os.system是os模块最基础的,在该基础上用其他方法进行封装在jpg或png文件中输入以下代码importosos.system('cat/flag')保存后进行上传,最后按F12就可以拿到flag
白猫a٩·2023-10-23 06:58

Bugku sql注入 基于布尔的SQL盲注 经典题where information过滤

绕过回车绕过·(键按钮)绕过等号绕过绕过,(逗号)使用substr下面存在基本绕过方式注释符绕过/**/绕过#绕过/*注释内容*/绕过//注释绕过大小写绕过绕过information过滤简单的爆破表名bugku
双层小牛堡·2023-10-22 07:42

Bugku CTF Reverse.7 逆向入门

题目:https://ctf.bugku.com/challenges/detail/id/118.html用wine发现打不开??
LoseHu·2023-10-21 08:35

CTF论剑场学习——杂项

(https://new.bugku.com/)头像(http://123.206.31.85:2018/touxiang.png)遇到图片题,下意识下载后拖到winhex中分析,搜索文本flag.签到如题目所示
梳刘海的杰瑞·2023-10-19 03:35

BugKu】铁子,来一道

目录线索一(虽然到后面发现没什么用):找手机线索二(一开始就用红色形态不就好了吗.jpg):找到WIFI密码/*大部分内容都是同学指点的@寒墨凌作为学习日记的系列(主要记性不好怕忘)*/首先下载得到文件在根目录下看到这样一个文本文档线索一(虽然到后面发现没什么用):找手机就像小时候翻东西吃一样,首先肯定是去爸妈房间里找,但是爸妈的卧室这个压缩包被上锁了,于是在其他地方找线索在客厅发现一架钢琴(?什
s1ameseL·2023-10-16 22:33

使用 Python 从音频中提取摩斯密码

本人并非专业人士,在部分专业名词的表述上可能会出现错误,敬请谅解前段时间在BugKu做题时碰到了这么一题铁子,来一道-BugkuCTF(WriteUp可见同学的博客【BugKu】铁子,来一道_s1ameseL
寒墨凌·2023-10-16 22:29

Bugku sql注入 基于布尔的SQL盲注

sql注入基于布尔的SQL盲注:首先这题的知识点:需要了解mysql的知识点:unionselect联合查询,联合注入常用database()回显当前连接的数据库version()查看当前sql的版本如:mysql1.2.3,mariadb-4.5.6group_concat()把产生的同一分组中的值用,连接,形成一个字符串information_schema存了很多mysql信息的数据库info
南冥~·2023-10-14 16:04

CTF刷题

刷题网站:bugku;BUUCTF本文记录了在刷题过程中所学到的知识点坚持每天刷5道题,持续更新坚持就是胜利鸭CTF1、bugku–Simple_SSLI_1根据题目SSLI即服务端模板注入攻击,服务段接收用户输入
不会绑马尾的女孩·2023-10-09 08:40

2021-11-23 学习日记

1.Bugku想要种子吗使用010Editor查看图片可以明显地看到其中有隐含的文件,但是使用foremost不能直接分离出来。线索在图片的属性中。
狐萝卜CarroT·2023-10-04 20:29

bugku web 17~24 write up

bugkuweb17~24writeupflag在index里打开页面有一个链接,点击链接发现url栏出现file,关键字想到文件包含漏洞。
h0ryit·2023-10-04 05:12

暴力破解及验证码安全

1.暴力破解注意事项1、破解前一定要有一个有郊的字典(Top100TOP2000csdnQQ163等密码)https://www.bugku.com/mima/密码生成器2、判断用户是否设置了复杂的密码在注册页面注册一个
布满杂草的荆棘·2023-10-03 01:19

2021年11月逆向练习

全文目录前言一、BugKu-Timer(阿里CTF)1.简单分析2.修改安卓程序数值3.总结二、BugKu-signin1.功能分析2.找到toString,获取flag3.总结三、BugKu-逆向入门
抒情诗、·2023-09-27 01:37

CTF-Bugku逆向题Android方法归纳

1.signin题目:reverse()功能:反转数组里的元素的顺序语法:arrayobject.reverse.()这类方法会改变原来的数组,不可逆转tostring()功能:将各类进制的数字转化为字符串语法:number.toString(radix)(radix代表进制数)字符串的管理地方是string.xmljava在引用函数时要倒着引用StringBuffer当对字符串进行修改的时候,需
彬彬有礼am_03·2023-09-27 00:04

bugku 小明的博客

首先打开是一个博客的样子,里面写有提示那么搜一下吧,发现这是typecho有getshell的漏洞,利用步骤:gitclonehttps://github.com/BennyThink/Typecho_deserialization_exploitcdTypecho_deserialization_exploitpythonexp.py按使用步骤写入webshell,之后可以进入b374k.php
牛一喵·2023-09-26 19:52
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他