實驗吧web之false
flag值:ctf
解題步驟:
1.點開題目鏈結,觀察題意
2.題目提示可以用sha1函式,也可以用md5碰撞,通過題意判斷可以使用sha1函式獲取flag值,也可以用md5獲取flag值,進入解題鏈結
3.進入解題鏈結後,發現是個登入介面,我們檢視源**後並沒有發現什麼問題,於是點選view the source code檢視php**,確定其中包含的資訊
4.在這段原始碼中可以看出點,再下面列出
1----如果名字等於密碼就輸出:你的名字不能和密碼一樣
2----如果名字的雜湊值等於密碼的雜湊值:輸出flag值
5.從而判斷,如果想要獲取flag值,那麼就必須上傳兩個值,但是值不能相等,卻要讓雜湊值相等,但實際上是不存在兩個不相等的值通過計算使雜湊值變成相等的。於是我們可以使用sha函式的乙個漏洞,該函式預設傳輸資料型別是字串型,那麼我們就可以傳輸其他型別的資料,比如陣列等。這樣就可以通過更改url來獲取flag值了。在位址列輸入,如下圖
6.按回車進行下一步發現flag值已經出現在介面上,提交就可以了
7.提交成功
附加知識點:
1---- == : 比較運算符號 不會檢查條件式的表示式的型別
2---- ===: 恒等計算符 , 同時檢查表示式的值與型別。(會檢查表示式型別,如bool)
實驗吧CTF練習題 WEB 貓抓老鼠解析
實驗吧web之貓抓老鼠 flag值 key wwwnsf0cus net 解題步驟 1.觀察題意,說是貓抓老鼠,catch!catch!catch!嘿嘿,不多說了,再說劇透了通過這句話判斷是讓我們來抓包,於是進入解題頁面 2.通過一些列的提交和查詢源 並沒有發現什麼問題,於是開啟burp進行抓包測試...
CTF 題目練習題庫
入門 從基礎題目出發 推薦資源 首推 idf實驗室 題目非常基礎,只1個點 www.ichunqiu.com 有線下決賽題目復現 題庫 歷年題,練習場,比較難 www.wechall.net challs 非常入門的國外ctf題庫,很多國內都是從這裡刷題成長起來的 國外,入門,有移動安全 a方向 密...
CTF 攻防世界練習題 二)
webshell就是以asp php jsp或者cgi等網頁檔案形式存在的一種命令執行環境,也可以將其稱做為一種網頁後門。黑客在入侵了乙個 後,通常會將asp或php後門檔案與 伺服器web目錄下正常的網頁檔案混在一起,然後就可以使用瀏覽器來訪問asp或者php後門,得到乙個命令執行環境,以達到控制...