CTF 练习场

[GWCTF2019]xxor首先可以到汇编界面从新定义（U+P）一下main函数，不然看着会有点乱分析追踪input变量可以看到每次循环是获取四字节的输入但后面对于tmp变量的赋值我就有点看不懂了，不要紧，直接动调动态调试连接linux，下断点开调我不知道为什么输入字符会直接跳出循环，所以输入......

下载附件，给了一个流量包，拿到wireshark中进行流量分析看到除了上面的几个包，其它的都是ICMP的包，上面的几个包也没发现什么有用的信息，就随便点开几个ICMP包看了下，发现它们的尾部都有一串相同格式的信息使用tshark进行提取提取出的data.txt中有大量重复信息这里脚本参考大......

vtablevtable（虚表，virtualtable）是面向对象编程中的一个关键概念，主要用于实现多态性（polymorphism）。它是一种数据结构，通常是一个指针数组，包含了类的虚函数（virtualfunctions）的地址。每个类都有自己的vtable，并且每个对象实例都有一个指向该vtable的指针，称为vptr（虚表指针）。......

Crypto复现参考文献：2024-SHCTF-week4-wp-crypto|糖醋小鸡块的blog鸡块师傅真的太强了（膜拜*siDH就讲一下这题遇到的问题，鸡块师傅说的可能不是很清楚。这里先贴一下参考文献：前几天源鲁杯有一题，翻到最后就是，里面有讲数据的构造，和攻击思想微信公众平台（贴一下）Castryck-Dec......

[Week1]1zflask按照提示访问robots.txt，访问/s3recttt得到一个python文件在api路由传参，直接执行命令得到[email protected]('/api')defapi():cmd=request.args.get('SSHCTFF','ls/')result=os.popen(cmd).read()returnresult[Week1......

1.进入网站(文件上传题?)--->CTRL+U查看源码(无果)--->导入带有一句话木马的.php文件(无法上传非图片文件)2.使用JavascriptSwitch插件关闭网页的js设置后再次上传图片(成功)--->将文件上传后的路径添加进蚁剑(密码为先前上传的.php文件中POST['']内的字符)3.连入服务器后在......

主要做web方向，misc和crypto有几题也看了一下Webez!httpez_md5这里的<fontstyle="background-color:rgb(249,242,244);">$_REQUEST</font>变量获得GET或POST的参数，值的注意的是，如果通过不同的方式获得相同变量的不同值，**<fontstyle="background-color:rgb(249,242,244......

CTF是啥CTF是CaptureTheFlag的简称，中文咱们叫夺旗赛，其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜，当有一方的旗帜已被敌军夺取，就代表了那一方的战败。在信息安全领域的CTF是说，通过各种攻击手法，获取服务器后寻找指定的字段，或者文件中某一个固定格式的字......

ez!httphttp的各种头部字段伪造,无需多言.find-the-id生成一个1~很大的字典去爆破我写的网站被rce了？命令注入,payload为|nl${IFS}/f[k-m]ag||babyupload有meme检测,扩展名应该是白名单.传个htaccess上去,然后传个伪造了文件头的马.还对马里面的内容进行了检测,绕的彻底一......

最后一周没时间做了,开摆了.1zflaskrobots.txt文件泄露加任意命令执行importosimportflaskfromflaskimportFlask,request,send_from_directory,send_fileapp=Flask(__name__)@app.route('/api')defapi():cmd=request.args.get('SSHCTFF','ls/......