太菜了太菜了,剛見到js****時竟然不知道什麼東西,自己都不敢說自己做過實驗吧上的那道js****題了。
進入正題:
首先解壓發現兩個檔案,乙個流量分析包,哇哇哇,我正好剛學了幾天wireshark工具使用,正好練練手
第二個檔案是這個secret.log,不管啥,先放入winhex裡邊看看
果然中間有一段十六進製制數字,提取出來,放入010 editor裡看看
有個rar檔案,筆者沒有太多ctf經驗,傻乎乎的以為是那個原始檔是壓縮包類,又走了半小時彎路,最後才把這這段十六進製制檔案儲存為壓縮包,果然開啟需要密碼,那裡邊必然是flag了。
開啟這個分析包首先過濾http包,仔細乙個乙個檢視,發現了這個
這就是那個js****,我起初還不知道,真菜呀!
然後就簡單了,解密一下就出來了密碼了,
完事~
ctf writeup 迎聖誕拿大獎 SQLi
開啟連線,出現乙個登入框 嘗試 掃目錄 弱口令 源 都沒有什麼發現 題目為sqli 猜測sql注入應該在登入處,轉包丟sqlmap先跑一發,也沒有結果。嘗試手工測一下,發現在使用者名稱處輸入 時居然有報錯!看報錯提示,有sprintf 錯誤,瞬間想起了這個函式有格式化字串漏洞,抓包嘗試一番。spri...