刷了一下CTF反序列化的题,去年没有好好了解.又补了一次PHP,害太菜了.每天看看别人的博客真的可以鼓舞人.简单记录一下两道字符串逃逸问题 推荐一个反序列化总结的很好的笔记https://www.cnblogs.com/wjrblogs/p/12800358.html //变长 直接构造多个关键词,这样就能逃出几个字符 <?php error_reporting(255); class A { public $filename = __FILE__; public function __dest
Python简单的CTF题目hash碰撞小脚本 import hashlib for num in range(10000,9999999999): res = hashlib.sha1(str(num).encode()).hexdigest() #sha1改为题目需要的算法 if res[0:5] == "903ed": #对hash的前五位为"903ed"的数字进行碰撞 print(str(num)) #等待执行结束 输出结果 break
今天做了省赛初赛的ctf比赛,过程真是忐忑,奋战了6个小时(本来是三个小时的,哈哈哈哈). 不说了! 不说了! 说多了都是泪~ 看题吧,题目就是一道流量分析题,里面有一段icmp包,icmp包的ttl的十六进制是一个压缩包! 所以就是把ttl值提取出来,在把ttl值转换16进制 ttl值提取出来如图 脚本如下: f=open('ttlnum.txt').readlines() for i in range(len(f)): f[i]=int(f[i].rstrip('\n')) print(f)
题目源代码给出了提示index.php.txt,打开拿到了一段看不太懂得东西. 图片标注的有flag1,flag2,flag3,同时还有三段字符,然后还出现了_GET,脑洞一一点想到访问 ?flag1=fvhjjihfcv&flag2=gfuyiyhioyf&flag3=yugoiiyhi 后面还提示了一步the next is XXX.zip,估计是要下载网站的备份压缩包.也确实是这样的,我们下载到了1chunqiu.zip,下面就是代码审计了. 在login.php里面对$userna