值得注意的是嵌套的 if 语句最终执行的是 unserialize() 函数,这个函数的作用就是反序列化。 首先研究一下什么叫序列化,PHP官方文档对对象序列化有着全面的解。其实序列化就是将一个 php 值转化为一个包含字节流的字符串,方便存储与传递,可直接调用 serialize() 方法完成序列化,具体实现可参考官方文档。而将字符...
buuctf的basic第一题 摘要:1.题目背景 2.题目分析 3.题目解答 正文:【题目背景】BUUCTF是我国著名的网络安全赛事,旨在选拔优秀的网络安全人才。其中,basic系列题目是针对初学者的入门题目,适合新手从零开始学习CTF(Capture The Flag,夺旗赛)。本次任务将针对basic第一题进行解析。【题目分析】basic第一题是...
32. 解题思路:首先通过代码审计,发现我们需要用get方法传递pleaseget变量值为1,用post方法传递pleasepost变量值为1,然后用post方法传递md51和md52的内容不同,但是md5值相同,这里就要利用php弱语言特性,0e123会被当做科学计数法,0 * 10 x 123。然后进行代码序列化。 md5(‘QNKCDZO’)的结果是0e83040045199349...
[UTCTF2020]basic-crypto题目链接(buu平台) https://buuoj.cn/challenges#[UTCTF2020]basic-crypto附件: attachment.txt 这题附件里面表示的就很明显,每一组都是8位二进制。直接转ascii字符即可。题解exp如下: f=open("attachment.txt","r") arr=f.read().split(" ") re="" for i in arr: re+=...
.au audio/basic au声音文件 .mid或.midi audio/midi或audio/x-midi MIDI音乐文件 .ra或.ram或.rm audio/x-pn-realaudio RealAudio音乐文件 .mpg或.mpeg或.mp3 video/mpeg MPEG文件 .avi video/x-msvideo AVI文件 .gz application/x-gzip GZIP文件 .tar application/x-tar TAR文件 .exe application/octet...
Basic Crypto DASBOOK Misc N1BOOK Pwn Real Reverse Web 加固题 二.题目描述 该题目的具体描述如下: 题目:[第一章 web入门]粗心的小李 方向:信息收集 来源:《从0到1:CTFer成长之路》书籍配套题目,来源网站:book.nu1l.com 描述:看看能不能找到信息吧?
【CTF入门】BUUCTF Misc刷题(持续更新) 【CTF入门】BUUCTF Misc刷题 签到(简单) 点开发现签到题直接把flag交出来了,直接复制提交即可 考点:了解CTF中flag的格式一般为flag{} 金三胖(新工具) 下载文件,发现里面是一张gif图片,我们查看一下发现总有东西一闪而过...
Buuctf刷题 Crypto 2day 1、信息化时代的步伐1 根据题目提示,需要将数字转化为中文,所以想到了中文电码 所以得到flag{计算机要从娃娃抓起} 2、凯撒?替换?呵呵!1 用简单的凯撒密码破解工具没有破解出来,所以考虑强制破解:https://quipqiup.com/...
解题思路:首先通过代码审计,发现我们需要用get方法传递pleaseget变量值为1,用post方法传递pleasepost变量值为1,然后用post方法传递md51和md52的内容不同,但是md5值相同,这里就要利用php弱语言特性,0e123会被当做科学计数法,0 * 10 x 123。然后进行代码序列化。
刷了一下buuctf的basic部分,稍微记录一下操作。 链接地址 pass-01 首先上传一张图片试试: 这里有回显图片,但是没有文件所在的目录。但是如果点一下图片的话,会发现右键的时候会出现复制文件地址,这个就应该是我们要的目录。 试了试BP抓包修改文件名,但是没用。那再试试绕过前端。看一下源码: ...