这周的题目有点偏向misc。。。。 1.Dancing Line 下载附件发现是一条只有向右和向下的像素线,而且线上每8个像素还有一个是不同颜色的 因此猜测每8个像素表示一个字节,向右和向下分别表示0与1 写脚本分析即可得到flag 2.Easy RSA 它将flag用RSA加密了 直接如此解
HGAME比赛,ak了第一周,记录一下 easy_auth 考点:jwt的cookie伪造 打开之后: (一开始我也没有想到是jwt的伪造,还尝试过bp弱密码爆破,js代码审计的,浪费了好长的时间) 先尝试弱密码登录,用户名根据题目应该是admin,先后试了几个密码都不对,那就创一个账号 账号:name123 密码:name123 登进去
sql注入 sql语句 SELECT username, password FROM users WHERE username='$username' && password='$password' 万能密码(最简单的sql注入) 1‘ or 1=1# 注释符也可以是–+#是为了将后面的密码段给注释掉 步骤 找注入点(就是可以跟数据库进行交互的地方) 闭合语句(闭合了就能
HGAME 2022 --week1 MISC: 好康的流量: 额,地址这个格式有点问题,没法复制地址,将就着看昂,哈哈哈 这个流量包打开,都没有http流,话不多说,追踪tcp流 然后往下翻一翻昂,根据题目描述应该是一张图片昂,就看到一个png,让我非常的激动啊 看下面一串,是base64加密,说实话确实没看出来。。。
文章目录 Level - Week1WEBeasy_auth蛛蛛...嘿嘿♥我的蛛蛛Tetris plusFujiwara Tofu Shop MISC欢迎欢迎!热烈欢迎!这个压缩包有点麻烦好康的流量群青(其实是幽灵东京) CRYPTODancing LineMatryoshkaEnglish Novel 新人赛,就没有存题目附件了,简单的记录一下解题过程吧 L
hgame_week1_wp WebHitchhiking_in_the_Galaxywatermelon智商检测鸡 ReversehelloRepypy PWNwhitegive CryptoTransformer MISCBase全家福不起眼压缩包的养成的方法 Web Hitchhiking_in_the_Galaxy POST,UA,Referer,X-Forwarded-For watermelon 改project.js,把加分值的地方
Cosmos的博客后台 使用伪协议读取代码后发现可以直接通过所谓的debug模式进行用户名和密码的读取 密码可以随便找一个md5加密后0e开头的字符串进行弱类型比较,进入后台后发现是一个ssrf的模板,直接使用file协议跨目录对根目录下的flag进行读取file://localhost/../../../../fl
Hgame2020 Misc 壁纸 首先下载文件打开发现是图片,一张明日方舟图片(舔~) 然后因为是杂项,于是可以联想到图片隐写和图种藏压缩包等操作,试了一下发现改后缀可以得到压缩包,打开得到一个加密文件 同时,压缩包左边有提示:密码是图片ID 然后搜索图片ID,发现这是可怕的P站的id,理性
接 头 霸 王 Description HGAME Re:Dive 开服啦~ 打开题目,提示了“头”和一个网址,“头”就是burpsuite的http Header了 1、用burpsuite抓http://kyaru.hgame.n3ko.co/的包,添加Refer:https://vidar.club/ 2、又要求本地访问,然后加上X-Forwarded-For:127.0.0.1,伪造ip 3、要求用Co
为什么week1这么难做。。。 MISC 1,欢迎参加HGame! base64解码后为摩斯码,解码得flag 2,壁纸 binwalk提取出压缩包,发现密码为图片id,用https://saucenao.com找到p站id得flag 3,签到proplus 现根据password.txt,对内容进行栅栏后凯撒,得到 :many years later as he faced the fir
纯正新人CTF选手的误打误撞上分过程 “这题目上头是上头但是咱不上分啊” Crypto - InfantRSA 题目: 真*签到题 p = 681782737450022065655472455411; q = 675274897132088253519831953441; e = 13; c = pow(m,e,p*q) = 2756984650823610701451736884114963115421
