i春秋学院是国内比较知名的安全培训平台,前段时间看了下网站,顺便手工简单测试常见的XSS,发现网站搜索功能比较有意思. 其实是对用户输入的内容HTML编码和URL编码的处理方式在这里不合理,提交到乌云被拒绝了,因为确实没啥危害,因此技术BLOG记录下. 如搜索:http://www.ichunqiu.com/search/ab<>,搜索内容为ab<>,页面会把<>做html编码后在页面展现,这样看起一切正常. 如: 但经过多次分析,发现把搜索的内容用URL多次编码或ht…

爱春秋之戏说春秋 Writeup 第一关 图穷匕见 这一关关键是给了一个图片,将图片下载到本地后,打开以及查看属性均无任何发现,尝试把图片转换为.txt格式.在文本的最后发现这样一串有规律的代码: 形如这样的代码一看便想起来了URL加密方式,在搜索引擎里找到URL在线解码的工具即可(注意:原文最开始缺失一个%,需补齐后即可解密) 第二关 纸上谈兵 沿着第一关的解题思路并没有发现什么有价值的东西,接下来试试查看网页源代码,看看有什么收获(一般浏览器按F12即可查看源代码) 根据常识,秘密肯定是藏在…

i春秋--春秋争霸write up 第一关 题目给出一张图 提示中,这种排列源于古老的奇书,暗含了两个数字,可以得出第一关的答案是两个数字 百度识图来一发, 得到图中排列是来自于洛书,点开洛书的百度百科,往下拉,发现百科中提到,每一行每一列还有对角线加起来都是15,验证一下的确如此. 尝试输入15,过关 第二关 依旧是给出一张图 提示是 这些大大小小的圆圈究竟是什么意思? 这和外面的树阵有什么关系? 这跟四位全是[阴,阳]的密码又有什么关系呢? 初步猜测是二进制或者摩斯码 根据摩斯电码表,o 对…

/* //题目标题: *密码破译(闫博钊) //题目描述: *某组织欲破获一个外星人的密码,密码由一定长度的字串组成.此组织拥有一些破译此密码的长度不同的钥匙,若两个钥匙的长度之和恰好为此密码的长度, *则此密码被成功破译.现在就请你编程找出能破译此密码的两个钥匙. //输入描述: *输入第一行为钥匙的个数N(1≤N≤5000) 输入第二行为密码的长度 以下N行为每个钥匙的长度 //输出描述: *若无法找到破译此密码的钥匙,则输出仅1行0 . 若找到两把破译的钥匙,则输出有两行,分别为两把钥匙的…

很多程序员辛辛苦苦开发出的android开发代码,很容易就被黑客翻译了. Google似乎也发现了这个问题,从SDK2.3开始我们可以看到在android-sdk-windows\tools\下面多了一个proguard文件夹 proguard是一个java代码混淆的工具,通过proguard,别人即使反编译你的apk包,也只会看到一些让人很难看懂的代码,从而达到保护代码的作用. 在工程的"default.properties"中添加这样一句话“proguard.config=prog…

很多程序员辛辛苦苦开发出的android开发代码,很容易就被黑客翻译了. Google似乎也发现了这个问题,从SDK2.3开始我们可以看到在android-sdk-windows\tools\下面多了一个proguard文件夹 proguard是一个java代码混淆的工具,通过proguard,别人即使反编译你的apk包,也只会看到一些让人很难看懂的代码,从而达到保护代码的作用. 在工程的"default.properties"中添加这样一句话“proguard.config=prog…

在i春秋论坛混迹了大半年了,在i春秋的在线平台学到了很多奇技淫巧,特别喜欢这个平台的气氛,以及虚拟在线网络环境的搭建, 忙周偷乐,过来也为i春秋做点小奉献,共同构造我们喜欢的春秋平台,成长特别快,特别时尚优秀的一个平台,看着CTF工具库从几行文字的网页 变成现在动态丰富的平台,甚是欣慰,让我也出一点微博之力.所以整个一天都在和负责人交流,如何配置流程,实验环境.开始我的i春秋新旅程 我这正在火热进行中,希望得到大家的支持 下面是我即将实验配置录制的课程,希望能丰富大家的网络安全知识,不要随便连公…

作者:龙心尘 &&寒小阳 时间:2016年1月. 出处: http://blog.csdn.net/longxinchen_ml/article/details/50543337 http://blog.csdn.net/han_xiaoyang/article/details/50545650 声明:版权所有,转载请联系作者并注明出处 1. 如果让你破译"三体"人文字你会怎么办? 我们试着开一下脑洞:假如你有一个优盘,里面存了大量"三体"人(刘慈欣…

不好意思呀!最近一直忙着学习python,竟然忘记更新I春秋里面的题目了(QAQ),我以后会时时刻刻提醒自己要更新 永远爱你们的! ----新宝宝 1:贝斯家族: 解题思路:我相信看见这一题都能够想到使用base解密,只是不知道使用哪个,试一下base64发现得不到结果,再使用base32试一下得到答案: 最后得到答案:flag{erhei_e8934_erUO} 2:方方格格,不断敲击: 解题思路:仔细阅读题目内容,就会发现这个是和电脑键盘有关的,想到我自己曾经在实验吧做过类似的题目,直接跟着…

今天早上起来很开森!因为今天要打比赛了(2018年3月安恒杯线上赛),等到比赛开始得时候,发现自己登陆不上去 想了很久发现自己只是预约了比赛,并没有报名(QAQ ),心疼一下傻傻的自己.现在开始工作: 1: 解题思路:首先要仔细看给出的题目的内容,毕竟题目中已经给出了flag 得到答案:flag{w41c0me_t0_441~} 2: 解题思路:说一句情话(在这里,我想提醒的是,我有一些这个方面的博文,你们可以查看一下哦), 在i春秋上面对百度杯说的,那么最好不过是:百度杯么么哒, 就会得到答案…