台部落Daniel-0

01: 解壓得到key.exe文件，拖到hex裏發現一串很長的base64編碼，根據題目提示，會得到一個二維碼圖片，想到base64轉圖片，這裏可以寫個html文件，也可以在線轉換，推薦HTML吧，剛好練習一下HTML。最後掃描二維碼得

2020-06-21 02:47:45

01：打開鏈接做題，發現是一串js，按下F12，打開控制檯，複製所有的編碼到控制檯，回車即可拿到flag。 02：打開題目鏈接做題。題目說：make sure you are in hongkong ，這題應該要用到bur

2020-06-20 20:47:42

題目是世安杯線上賽的一個題目查看源代碼，發現最下面有一行提示密碼是五位數字，所以想着爆破，但在burpsuite抓包後發現，每次登錄，驗證碼都會改變，而且驗證碼不可以爲空。這時就要去設置macros，具體設置方法切換到 Burp

2020-05-31 05:28:40

ubuntu開發環境下的隱寫因爲自己的開發環境是ubuntu16.04，所以主要講ubuntu的隱寫，隱寫在windows操作系統下實現比較簡單，在cmd裏用copy /b命令就可以了，而在ubuntu環境下就稍微麻煩一點，首先，準備一

2020-02-20 20:54:12

初次接觸sqlmap。首先判斷是否存在注入點，先在網址後加'。然後可以判斷存在注入點。然後就可以使用sqlmap。首先查看當前數據庫。發現數據庫名爲my_db;然後爆表名。繼續爆thiskey表的列。接着爆

2020-02-20 20:54:12

題目：題目沒有提示，直接打開鏈接，是一張圖片，下載到本地做題，首先binwalk，發現圖片裏隱藏有個zip文件，可以使用dd命令來提取這個文件，爲了方便我直接改圖片文件後綴爲zip。打開後有個key.txt文件，但是是加密的。

2020-02-20 20:54:12

CTF 中國菜刀不在web裏？？？作爲一個接觸CTF不過半個多月的小菜鳥，剛拿到這題的時候走了彎路,首先打開題目鏈接會下載一個zip格式的壓縮文件打開下載的zip文件，看到這個首先看到這個.pcapng文件我以爲是要抓包的，作

2020-02-20 20:54:12

域名解析：還是要多謝dalao幫助我，題目說把flag.bugku.com解析到111.67.197.3能拿到flag。那就要改一下host。我不會全程dalao教我，那就打開/etc/hosts，修改裏面的內容，（我這是針對ubu

2020-02-20 20:54:12

計算題打開題目鏈接做題，發現真的是一個計算題，那麼把答案提交應該就能拿到flag了吧，好吧，沒這麼簡單，你輸入答案的時候會發現只能輸入一個數字，這時候就察覺應該是源代碼的限制，查看源代碼，果然發現問題。發現源代碼中maxlen

2020-02-20 20:54:11

web：打開題目鏈接做題，題目說查看源代碼，那就查看源代碼。不需要完全讀懂源代碼，看到幾串編碼，根據源碼大概意思，就是要提交解碼之後的東西，自己在線解url碼，得到根據解碼後的編碼大概意思，提交上圖中選中的部分即可，就

2020-02-20 20:54:11

01：瀏覽器打開後什麼都沒有，查看源代碼，看見一串base64，應該有用，上py，解開發現是一個鏈接，打開鏈接，下載圖片，cat一下看到flag。 02：很明顯是16進制，明顯看到是zip格式的文件頭，保存一個zip格式文件，被自

2020-02-20 20:54:11

題目有點坑，我太菜，當時沒有寫出來，之後看到dalao的提示才明白的。當時時間倉促題目沒截圖，反正是一道misc題目，題目是一張圖片，放到wxhexeditor裏，看到一段flag，這個很簡單。然後就天真的提交了，錯的，這題就坑在是

2020-02-20 20:54:10

我們先嚐試隨意輸入用戶名 123 和密碼 123 登錄：從錯誤頁面中我們無法獲取到任何信息。看看後臺代碼如何做驗證的：實際執行的操作時： select * from users where username='123' and

2018-09-03 07:44:57

輸入1，返回正常，輸入1‘ and ’1‘=’2，返回空，輸入1‘ or 1234=1234 # 說明存在字符型注入。然後猜解字段數，輸入1‘ order by 1 #，返回正常，輸入1’ order by 2 #，返回正常輸

2018-09-03 07:44:53

首先看到源碼可以看出得到flag的途徑是ac的值不爲空，並且f的值從文件fn中獲取，並且ac的值要恆等於f的值，所以構造如下payload 即可獲得flag。

2018-09-03 07:44:53