AWD比赛总结

AWD总结做好明确的分工,每个人各司其职修改后台口令、ssh连接口令、3389口令、数据库口令、后台口令拿到服务器先备份数据库、备份源码、开启日志记录对B段进行扫描对尝试其他的已经发现的主机使用D盾对源码进行扫描,代码审计,完善自身代码,同时利用扫描结果和代码审计结果对其他队伍的服务器进行攻

2019-1-12 00:13 21 6142

投稿文章:LFSR已知明文攻击

LFSR已知明文攻击1.流密码我们知道,OTP(一次一密)是无条件安全的,但是它的缺点使得它不具有实际意义,在实际中流密码使用的密钥都是通过具有某些属性的密钥流生成器产生的。由于密钥流生成器产生的都是伪随机序列,这也就是说序列存在着一定的循环周期,周期的长短是保密性的关键。实际上的序列密码

2018-12-29 18:49 0 535

2018swpuctf---web合集

TCV:0# 前言由于进入期末预习阶段,没时间打,只能赛后看看题,复现一下,感觉这个比赛web题的质量还是挺高的,明年一定不能错过。### 用优惠码 买个 X ?<!--more-->这道题注册登陆之后会送一个优惠码,后台扫描得到www.zip,阅读源码```<?php//生成优惠码$_SESSION=rand(0,999999999);function youhui

2018-12-23 15:50 20 5968

2017强网杯线下AWD攻防总结(适合新手)

这篇文章首发于个人博客https://iewoaix8736.github.io/鉴于刚建立博客,比较少人看,所以在t00ls分享给大家,欢迎来交流前言:本菜为高校组,这篇文章适合新手学习参考(dalao飘过,不喜勿喷)AWD攻击这次线下攻防用的是一个Finecms,版本是5.0.9的之前对这个cms并不了解现在复现一下,从哪里跌倒,就

2017-10-21 12:16 71 39869

由PHP小tip引发的思考(PHP优先级)

前段时间看到有关于CTF中PHP黑魔法的总结,其中有一段只有介绍利用方法但是没有详细介绍为什么,我想了一下,思考如下,如果不对,请各位大佬多多指正~原话如下:当有两个is_numeric判断并用and连接时,and后面的is_numeric可以绕过。 PHP中is_numeric 检测变量是否为数字或数字字符串,如果 var 是数

2017-10-18 15:54 28 5279

绿盟杯Web部分Writeup

Web50http://116.62.63.190/01b2962787ccc75f/web1/这题是个签到题,直接查看返回包即可获得flagWeb350http://116.62.63.190:8000/56631c0afe39dfe8/web2/ping.php?ip=127.0.0.1%0acacatt ping.php由题目的意思可以知道,这应该是个命令执行题目过滤了|之类的字符,我们直接使用%0a绕过ip=127.0.0.1%0a

2017-7-26 09:38 16 8514

世安杯CTF writeup

当初自己做的,能做多少写多少1 这都是基础 VkZad1dGSXdUbUZOZWs1T1YyeEdXVkl4Y0VWU01EVkxWbXhrV2xkVmVGVlVWa3BYVWpBd2VVMHdNVkJVYkVaWVUxWndWVlpGTVVkVk1HUk9WMVY0VlZSV1NsVlRSRWs1VUZRd1BRPT0=一道base64+base64+base64+base32 即可解出2 就是一个网页查看源代码发现有注释<!—coding mac >想到

2017-7-6 16:08 9 6188

CTF线下攻防赛个人总结

首发于个人blog:http://rcoil.me/2017/06/CTF%E7%BA%BF%E4%B8%8B%E8%B5%9B%E6%80%BB%E7%BB%93/本着最后一次参加线下赛,这时间安排也是让人很无语。将这一份总结留给学弟他们,涨涨经验。***一张常规的CTF线下攻防思维导图## SSH登陆两三个人进行分工,一个粗略的看下web,有登陆口的话,就需要修改密

2017-7-4 23:14 58 14252

php黑魔法

零、前言php的很多特性再带来编程方面的同时也会带来很多安全隐患,其中一些漏洞在CTF中经常出现,本文大部分示例也是取自CTF题目。这里首先说一下==和===区别。==是比较运算,它不会去检查条件式的表达式的类型,===是恒等,它会检查查表达式的值与类型是否相等,NULL,0,”0″,array()使用==和false比

2017-4-4 19:34 25 1439

某些CTF密码算法的PHP解法

一、异性相吸:最近出现了一个奇葩观点,说性别都不一样,怎么能谈恋爱?为了证明这个观点错误,请大家证明异性是相吸的。(答案为flag{}形式,提交{}内内容即可)解法:<?phpecho encrypt('mi.txt', 'asadsasdasdasdasdasdasdasdasdasdqwesqf');function encrypt($source, $key){if(file_exists($source

2015-12-1 11:42 2 4177