CTF-实验吧-天下武功唯快不破

最新推荐文章于 2019-09-09 22:26:00 发布
最新推荐文章于 2019-09-09 22:26:00 发布
阅读量563 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: CTF 解题思路 天下武功唯快不破 实验吧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a461477412/article/details/98315316
本文介绍了一个CTF挑战赛题目,通过解析HTTP响应头中的base64加密信息,使用Python脚本动态抓取并解密FLAG。文章详细描述了解题过程,包括发现FLAG字段,解码base64字符串,以及POST请求获取最终FLAG。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目:

看看响应头

格式:CTF{ }

解题链接: http://ctf5.shiyanbar.com/web/10/10.php 

 

解题思路:

题目提示看相应头就先用浏览器打开题目链接查看相应头发现存在一个名为FLAG的字段,值为base64加密的字符串

通过在线工具解密,提示需要POST一个值来获取FLAG,然后页面源码上提示了POST的参数为KEY。题目中还提示了要快,那么基本上KEY的值会一直变化。

写个Python脚本提交下就好了

import requests
import base64

#获取KEY值
url = 'http://ctf5.shiyanbar.com/web/10/10.php'
respon = requests.get(url)
key = base64.b64decode( respon.headers['FLAG'].encode() ).decode().split(':')[1]




#POST KEY值
posturl = 'http://ctf5.shiyanbar.com/web/10/10.php'

data = {
    'key':key
}

page = requests.post(posturl,data=data).text

print(page)

运行结果

[网络安全自学篇] 四.实验CTF实战之WEB渗透和隐写术解密
杨秀璋的专栏
08-06 1万+
上一篇文章分享了解BurpSuite工具的安装配置、Proxy基础用法,并分享一个简单的暴库案例;本篇文章分享实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功不破”和“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!
实验ctf
四盘山博客
07-25 3358
1/登陆一下好吗??http://ctf5.shiyanbar.com/web/wonderkun/web/index.html =' =' ctf{51d1bf8fb65a8c2406513ee8f52283e7} 2/who are you ? http://ctf5.shiyanbar.com/web/wonderkun/index.php import requests impor
实验ctf题目 天下武功不破
qq_30435981的博客
08-05 1673
  首先打开题目链接是这个页面,根据页面提示,我在想着可能跟提交刷新速度啥的有关系,先看一下源码。 根据注释里面的提示,这跟提交数据速度有关系,先抓包一下。 发现在响应头里面的flag信息,是个base64加密的。解密发现是:P0ST_THIS_T0_CH4NGE_FL4G:bO4K0gONI 后面这步参考了一些大佬的wp,这是让我们将flag信息进行base64解密,然后尽可...
CTF---Web入门第十六题 天下武功不破
weixin_34226182的博客
11-19 342
天下武功不破分值:10 来源: 北邮天枢战队 难度:易 参与人数:10787人 Get Flag:2264人 答题人数:3373人 解题通过率:67% 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php 原题链接:http://www.shiyanbar.com/...
[CTF]天下武功不破
胖胖的ALEX
06-26 656
类型:web 网址:http://www.shiyanbar.com/ctf/1854 攻击:无 一句话总结: response取得FLAG值,base64解密获得post请求的key值并post提交,获得flag。重点是必须使用脚本或者burp爆破插件,否则太慢 Writeup: python脚本 import requests import base64 url = 'http://ctf5...
ctf题库--天下武功不破
miko2018的博客
08-21 4449
<题目> 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php <解答> 解题过程式解答: 1.打开拿到的网站链接,出现以下提示信息。 2.查看网页源代码,发现以下注释内容:<!-- please post what you find with parameter:key --> 3.根据题...
CTF 实验吧——天下武功不破(node)
AaronLuo
09-02 637
题目 看看响应头 格式:CTF{ } 解题链接 提示 看看响应头,则在浏览器中查看RESPONSE Header 在RESPONSE中,有一段注释,发送POST请求,请求体为以key为键 毫无疑问,肯定是响应头的FLAG值 观察响应头的FLAG值,很明显是经过BASE64加密了,通过BASE64解码可以看到 解码之后隐约可以看到POST_THIS_TO_CHANGE_FLAG,那么将其值,构...
暑期练习web4:天下武功不破实验吧)
qq_41618162的博客
08-05 415
老规矩,先来看看题目及hint hint是:看看响应头 这是题目 There is no martial art is indefectible, while the fastest speed is the only way for long success.-You must do it as fast as you can!—- 翻译:没有武术是不可缺失的,而最的速度是长期成...
实验CTF-web
code_lab
02-27 6494
登陆一下好吗类型:sql注入已经过滤了/ # -- select or union |等,但是没有过滤单引号payload:username=pcat'='&password=pcat'='原sql语句为:select * from user where username='用户名' and password='密码'拼接后为:select * from user where username='p
网络安全自学笔记:实验CTF实战-WEB渗透与隐写术解析
CTF实战中,涉及的题目类型包括但不限于:"这是什么"、"天网管理系统"、"忘记密码"、"false"、"天下武功不破"以及"隐写术之水果、小苹果"。这些题目设计旨在让学习者实际操作,锻炼他们的分析和解决问题的能力...
CTF实验吧——证明自己吧
weixin_30800807的博客
09-09 303
题目地址:http://www.shiyanbar.com/ctf/28 没有壳 ,vc++ 写的 拖进OD观察观察,发现代码很短哟,先来看这俩个call 怀疑他们其中有正确的flag和我们输入的东西对比 强行爆破完寄存器里是没有正确的flag出现的,肯定是在某个函数里算出来的。 再进IDA里 main 空格,发现 关键函数就是sub_401060 ...
天下武功不破--速度要
weixin_30622181的博客
03-21 245
进入题目链接,查看源代码后看到了 意思就是利用POST方法速提交呗,F12,看一下Response,看到了BASE64编码过的FLAG字段,刷新一次都会改变headers FLAG里的内容,所以要提交噢 因此写个PY脚本来POST提交,得到flag #天下武功不破 import requests import base64 response= requests.ge...
Tamevic's Ctf-Web writeup@实验吧‘天下武功不破
Tamevic的博客
03-05 1011
Tamevic’s Ctf-Web writeup@实验吧‘天下武功不破’ 第一篇wp,希望自己有个好的开始,养成一个好的习惯 url: http://www.shiyanbar.com/ctf/1854 分析 看到题目提示我们看看响应头。先点击进入url,调出控制台查看响应头 能看到其中含有 key:UDBTVF9USElTX1QwX0NINE5HRV9GTDRHOkFOM0xkUmd...
实验ctf:
释晓的博客
09-25 673
一、后台登录: 格式:flag:{xxx} http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 解题思路:查看源码,代码审计 想到构建万能密码,1‘ or ’1‘=’1,  但md5加密无法构建万能密码 发现链接字符,输入试一下,竟然出现flag  ...
实验吧】CTF_Web_天下武功不破
weixin_30369087的博客
11-22 145
打开链接“http://ctf5.shiyanbar.com/web/10/10.php”,从页面内容未发现明显信息,查看源代码发现“please post what you find with parameter:key”,f12看到返回response headers中有flag字样,看起来是base64加密,然后构造Post包,重新请求,即可获得flag 附Pytho...
CFT每日一题之 天下武功不破
xiaotu0821的博客
06-21 1857
首先,进入题目页面,大意就是说,你必须足够(二十年没白撸的那种)一开始以为是页面重定向,然后抓包   欸,在响应包里发现了什么 FLAG ,没错,就是FLAG,这还不是美滋滋,复制提交 。哎,卧槽,不对,肯定是网络问题,再提交,还不对,思考三秒,哦,知道了,肯定是没解密,看到==两个符号,大概是base64 ,放hackbar里解密一下,将解密后的flag提交,依然不对。刷新页面 重新抓包,发现...
实验CTF(认真一点!)
欢迎光临
12-13 1919
输入1 输入2或者其他内容 看来只有输入1猜显示you are in 输入其他都是you are not in  输入; 过滤了: union 空格 逗号 % and ^ sleep substr | # ; 发现or 没有过滤 先看看可以用哪些来代替空格 经过测试  /**/  可以代替空格 于是构造 id=1'/**/or/**/1='1 按理来...
CTF-实验吧Writeup-Misc类(持续更新)
1cePeak
09-06 1935
  终于想起来更新实验吧STEGA的Writeup了(手动滑稽 1.欢迎来到地狱   解压欢迎来到地狱.zip,看到三个文件。      尝试打开地狱伊始.jpg文件,当然打不开,走不完的是出题人的套路~   图片无法正常显示。   丢进winhex看看,少了jpg文件头,我们将jpg文件头FF D8 FF E0 插入。     保存后即可正常打开图片。   有一个百度云的...
ctf-实验-crypto
zhang14916的博客
07-27 8210
1.trivial 下载文件解压,得到一个py文件,里面又一个加密算法,这是一个类移位加密,加密算法的key和加密之后的密文已知,然后对每个明文在不同范围内进行移位加密,直接解密即可 #!/usr/bin/env python import sys alphaL = "abcdefghijklnmopqrstuvqxyz" alphaU = "ABCDEFGHIJKLMNOPQRSTUVQ...
PHP在CTF-Web挑战中的实战应用技巧
CTF是一种信息安全竞赛,参赛者需要解决一系列安全相关的挑战题目以“捕获”虚拟的“旗帜”。... ### Web安全基础 ...CTF-Web-Challenge的环境中,参赛者将有机会通过实战演练这些技术,提升自己的安全技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值