0x00.前言 协会要举办信息安全大赛了,初赛的web+crypto+misc主要由我来出题,注册.比赛的平台也都要由我来写    上周日完成了注册页面的后端(前端由另一个女生写的),前天下午大概完成了比赛平台的所有基本功能(前端也是由我写的...)    独立写完比赛平台,有些收获打算写在这里,先留个坑,等比赛完了再填坑 后端:PHP 数据库:MySQL 0x01.登录页面 登录界面的前端是直接找的一个比较简朴的框架. 后端检验用户的输入,队伍名是只允许出现中英文.数字及下划线的,我用的pre…

CTF靶场 蓝鲸安全:http://whalectf.xin bugku:https://ctf.bugku.com XCTF攻防世界:https://adworld.xctf.org.cn/ i春秋:https://www.ichunqiu.com/battalion?t=1 南京邮电大学CTF/网络攻防训练平台:https://cgctf.nuptsast.com/challenges#Web 网络信息安全攻防学习平台:http://hackinglab.cn/index_1.php 我英语…

这道题不是说太难,但是思路一定要灵活,灵活的利用源码中给的东西.先看一下源码. 首先要理解大意. 这段源码的大致的意思就是,先将flag的值读取放在$flag里面. 后面再接受你输入的值进行判断(黑名单).说实话这道题后面把eval去掉也是可以做的.既然这道题把flag的值放进了变量里面,那么我们就需要将其输出就行了!! 当然这里面是有waf的. 我们看一下吧 基本的waf都在这里面.其他的都好理解,就是那个get_defined_functions()有点不同. 查了一下大致意思就是说输出当前…

这道题以前做过但是没有好好的总结下来.今天又做了一下,于是特地记录于此. 首先就是针对源码进行审计: 关于create_function这个函数可以看一下这个:http://www.php.cn/php-weizijiaocheng-405287.html 我们先来了解一下生成的匿名函数是什么形式的. 按照这里来说那么生成的匿名函数应该是这样的 <?php function lamdba() { $_GET[code]; }?> 函数中间的部分在create_function中默认以eval(…

0x01 XCTF(攻防世界) 攻防世界是ctf爱好者很喜欢的一个平台,不仅是界面风格像大型游戏闯关,里面的各类题目涵盖的ctf题型很广,还分为新手区和进阶区两块: 并且可以在里面组队,做一道题还有相应的积分跟金币,就像是组队打怪上分刷金的感觉. 平台地址:https://adworld.xctf.org.cn/ 0x02 BUUCTF BUUCTF是近来北京联合大学创办的致力于收集各类CTF比赛题并进行分类挑战的CTF练习平台. 平台地址:https://buuoj.cn/ 0x03 BugK…

1.栅栏密码 在IDF训练营里做过一道关于栅栏密码的问题. 栅栏密码的解法很简单,也有点复杂,字符长度因数多得会有很多个密码.对,栅栏密码的解法就是:计算该字符串是否为合数,若为合数,则求出该合数除本身和1的因数,然后将字符串分隔.用笔者自己写的解法就是这样: 凯撒密码,古代凯撒大帝用来打仗时的密码.凯撒密码在外界也有很多种解法.这里我用在国外CTF平台WeChall一道凯撒密码来讲解 密码术可以大致分为两种,即移位和替换,当然也有两者结合的更复杂的方法.在移位中字母不变,位置改变:替换中字母改…

继续刷题,找到一个 什么 蓝鲸安全的ctf平台 地址:http://whalectf.xin/challenges (话说这些ctf平台长得好像) 1. 放到converter试一下: 在用十六进制转的时候能输出url编码,再把url转换一下:(这里用converter的unescape就可以) 这段,乍一看先懵一个base64吧. 解密后是这样的,那就清楚了,这是ascii码.直接工具转,或者对着表很快. 所以就是 key{welcometovenus} 2. 刚开始以为是栅栏密码,凯撒密码什…

2019.2.11 南京邮电的ctf平台: 地址http://ctf.nuptzj.cn/challenges# 他们好像搭新的平台了...我注册弄了好半天... 1. 签到题,打开网址: 查看一下页面源代码: 2. 这道题很熟悉,就是找 md5后开头为0e的 然后传参就行了: 比如 ?a=s878926199a nctf{md5_collision_is_easy} 3. 这里查看页面源代码: 这里最大长度是10 肯定不够 改成12什么的,足够我们输入 zhimakaimen nctf{fol…

一言难尽 = =开始不知道FBCTF只能安装在Ubuntu,在本地搭建半天好不容易弄起了PHP环境,打开错误,后来才知道只能在Ubuntu 14.04 LTS下安装= = FBCTF是Facebook开发的一套开源的CTF平台,PHP语言,GitHub地址:https://github.com/facebook/fbctf/ 而且我找到的大部分教程都是需要FQ的,各位也知道这两年国内开始整治网络.咳咳不多说了 这次我就用了国内的源替换,否则就安装不了. 一.环境准备 首先我们要有一个Ubuntu…

南邮CTF攻防平台Writeup By:Mirror王宇阳 个人QQ欢迎交流:2821319009 技术水平有限~大佬勿喷 ^_^ Web题 签到题: 直接一梭哈-- md5 collision: 题目源码提示: $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{********…