声明:

由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。

环境:

训练网站:https://www.bihuoedu.com/ctf/ctf01/

工具:FireFox,Kail Linux

一、流程:

1. 第一关

思路:打开F12-网络,当我们输入密码,并未发出任何网络请求,可以判断密码验证在前端完成。

解题:网页页面右击->查看网页源代码,进行代码审计,得到密码为[go  ]。

2.第二关

思路:根据提示,需要对图片进行分析。

解题:

1.保存图片->使用Kali Linux的strings命令,打印该图片中所有可打印字符串。

2.windows系统下,直接使用记事本打开即可。

3.第三关

思路:明显判断出给出的字符串是URL编码后的。

解题:使用URL编码解码即可。

4.第四关

思路:使用BurpSuite抓包,判断提交数据后有无网络请求,在进行下一步。在Respond中得到地址。

解题:使用BurpSuite的重发器验证了响应的数据中,含有了下一关地址。

5.第五关

解题:首先测试密码的验证时在前端,还是后端。输入一个数字,发现有网络请求。

输入123,浏览器发送了一个Get请求,但是404。

根据提示,我们使用的通用密码的其中的两个字母,尝试爆破。

首先编写脚本生成字典。取常用密码admin和root中字母进行组合。

使用BurpSuite爆破。

发现没得得到预期结果。

我们使用另一个思路--前端代码审计,猜测可能是前端验证密码,如果密码错误就发送一个Get请求。

由于打开后必须输入密码,我们使用插件将js禁用即可,进行右击->查看源代码。

通过简单的代码审计,得到密码为or,也确实是我生成的密码字典中的一个。

因此,如果不对get请求进行爆破,对js依次尝试,也可得到正确密码。

我们启用js,输入密码即可通关。

[实践]必火网络安全-CTF-初级赛-笔记相关推荐

  1. 必火CTF闯关(1)

    CTF初级赛 第一关 右击检查元素可以发现有个判断语句,复制粘贴即可过关 第二关 把图片保存到桌面,打开后看到下一关地址复制到url中即可 第四关 url解码即可 第五关 输入账号密码后,错误没有返回 ...

  2. 网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...

    对于想学习或者参加CTF比赛的朋友来说,CTF工具.练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助. CTF在线工具 首先给大家推荐我自己常用的3个CTF在线工具网站,内容 ...

  3. 不服来战!青藤发起“雷火引擎”公测赛 百万赏金寻顶尖白帽

    2020年春天,以5G.人工智能.云计算为代表的"新基建"蔚然成风,着眼国家数字经济体系建设,打造数字经济体系底座的"新基建",无疑成为中国经济整体应对未来发展 ...

  4. 2022年“网络安全”赛项湖南省赛选拔赛 任务书

    2022年"网络安全"赛项湖南省赛选拔赛 任务书 2022年"网络安全"赛项湖南省赛选拔赛 任务书 A模块基础设施设置/安全加固(200分) B模块安全事件响应 ...

  5. 什么是网络安全CTF有何意义?该如何入门?

    福利:[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享 !] 什么是网络安全CTF?有何意义 ?该如何入门 ? 什么是网络安全CTF? CTF在网络安全领域中指的是网络安全技术人员 ...

  6. Android初级开发笔记-- activity启动模式的学习(1)

    第一次学习Android中一个很重要的概念,启动模式.文章记录的也只是一些入门知识,随着学习的深入还会有activity启动模式的学习(2)和(3). 下面分三个小点说一下对启动模式的理解区别以及如何 ...

  7. 2015年必火的五个Html5移动开发工具推荐

    2015年必火的五个Html5移动开发工具推荐 转载于:https://www.cnblogs.com/zhujiabin/p/4785359.html

  8. mysql查询数据为0的所有字段6_MySQL8.0 初级学习笔记(六)查询数据

    MySQL8.0 初级学习笔记(六)查询数据 MySQL8.0 初级学习笔记(六)查询数据 查询有多种方法:单表查询,使用集合函数查询,连接查询,子查询,合并查询结果,为表和字段取别名,使用正则表达式 ...

  9. Java 3D编程实践_Java 3D编程实践——网络上的三维动画[学习笔记]

    评论 # re: Java 3D编程实践--网络上的三维动画[学习笔记] 2006-08-24 23:41 gy # re: Java 3D编程实践--网络上的三维动画[学习笔记] 2007-03-2 ...

最新文章

  1. 【Linux】Linux 简单操作指令之磁盘管理
  2. SpringDataRedis对Redis的数据类型的常用操作API的使用代码举例
  3. kettle数据源连接的集群设置
  4. 虚拟服务器放2个网站,如何一个虚拟主机空间放两个网站的基本原理
  5. Java web application——基础
  6. JavaScript学习(六十七)—正则表达式学习总结
  7. jQuery打造智能提示插件
  8. 案例分享:巧用工具提升无源码系统的性能和稳定性
  9. 呦乐乐_百科讲解大全
  10. paip.uapi 获取网络url内容html 的方法java php ahk c++ python总结.
  11. unzip 解压缩文件命令
  12. 火山PC_POST教程
  13. convertTo的用法
  14. 简单实现京东分类页面
  15. 批量修改后缀名的方法
  16. python 基类是什么,python 基类是什么意思
  17. 查看nvidia gpu共享内存大小
  18. 仲裁器设计(4)Weighted Round Robin
  19. JavaScript中栈内存与堆内存分别是什么?
  20. STM32F4端口复用

热门文章

  1. 软件需求说明书(GB856T——88)基于协同的在线表格forture-sheet
  2. enspar启动失败40_AR启动失败错误代码40终极解决方案
  3. 屏幕复制 android,一键扫出截图中文字!屏幕文字复制App
  4. 《电信3.0——第二章》
  5. 静态方法不能调用非静态方法的原因
  6. 秋月之谋:黄金1504空再度击穿千五一线,原油反抽迎战前高阻力!
  7. 5个时间序列预测的深度学习模型对比总结:从模拟统计模型到可以预训练的无监督模型
  8. 计算机等级考试数据库三级模拟题3
  9. db2与mysql编目_关于DB2相同的数据库编目问题
  10. ICMP timestamp 协议原理和实现