前言:MISC考脑洞,也考分析和观察能力,总之比较有趣,就总结一下我的做题过程。
这是一张单纯的图片用winhex打开 Unicode编码转换ASCII即可得出flag
隐写前四位是宽度,后四位是高度。将A4修改位F4即可得出flag
telnetwinhex打开就可得出flag
眼见非实(ISCCCTF)下载之后打不开,根据提示眼见非实,将docx文件改成zip文件即可得出flag
啊哒用winhex打开,发现隐藏有zip文件,用binwalk进行分离得到一个加密文本,开始以为是伪加密,但用winhex打开后查看不是伪加密,因为不知道是否含字符、或是几位数,所以暴力破解也是不可取的,回...
SQL注入有很多方法,先接触最简单最直观的一种——联合查询注入
联合查询注入原理联合查询的前提是需要有显示位,而显示位就是通过用户的查询从数据库中返回到页面的数据,是可变化的。 例如:sql-labs前四关都是联合查询注入
sql-labs(一) 输入id=1或id=2,都会返回数据,而且返回的数据不相同。 接下来就开始实战,通过实战来了解联合查询注入的步骤和方法。
一、判断注入点 闭合符号一般是',",或无闭合符号或'),") --+为注释符号 在url框中输入?id=2',发现 用--+将后面的字符注释掉,发现 正常显示,说明注入点是单引...
ISCC2019刚刚结束,作为一个萌新我是真的菜,真心菜不过也会几道杂项题,就总结一下做题思路。
Aesop’s secret下载附件,打开一张gif图用PS打开,可以得到一张完整的图做到这里没思路了,就回去看题目提示。Aesop’s chest and key lie within .to find it(伊索的胸膛和钥匙都在里面。为了找到它 )还是一脸懵,用winhex打开我们得到的完整图和gif的图看看会有什么出现。在gif图中发现下面感觉像base64,试试吧发现前面有一个单词,百度翻译(盐),一般这些都是有密钥的加密密文,取在线网站挨个解下,看看那个可以,密钥当然就是ISCC了...
CTF 关于ZIP解题1.伪加密类型打开之后是两张图片,一张未加密,一张已加密。利用WinHex打开然后在谷歌上找到大佬关于zip格式的介绍接下来进行对比,看是否属于伪加密通过对比,发现确实属于伪加密。所以将09改为00即可。
总结:从50 4B 01 02 开始数十位数便能查看是否是伪加密。
2.CRC32碰撞总结
这个题是CRC32碰撞,首先有不会的就百度、谷歌。
通过查找发现需要CR...
CTF隐写总结一:LSB隐写
LSB概念 LSB,英文 least significant bit,中文义最低有效位。 对于一个给定的数据串,其最低有效位就是拥有最小单位数值的那一位.
关于LSB隐写的详细介绍 LSB详细介绍关于LSB隐写的详细算法 LSB详细算法关于LSB隐写的总结博客 LSB隐写总结隐写技巧:PNG文件中的LSB隐写
打开以后是一张这样的图片题目已经提醒这道题属于LSB隐写,那么就发动查百度、谷歌大法吧。经过查找,会发现需要用这个神器来处理这种题目。但打开这个...
最近接触了一些密码学的题,感觉特别有意思,写下博客来记录一下,以免忘记
一:哈夫曼树.png?raw=true)哈夫曼树(也称为最优二叉树),虽然(目前)没学,但是百度、谷歌大法无敌。查查原理,再去做题。经过一番查找,懂了原理,就总结了一下简单说:叶子结点:权值a : 4d :9g : 1f : 5l : 10 : 75 : 9{ : 1} : 1
画图时最上面的是根,而最优二叉树的规则则是需要权值大的尽量放在上面例如:叶子结点:权值a 7b 5c 2d 4搞懂了这个,但是这个题中还给了我们一堆数1110001110000010100100...
练习了DVWA靶场中的XSS了解了一些原理和攻击方式,接下来就用在线XSS平台开始实战一番。
在线XSS平台地址
第一关用最常用的攻击语句试试。
1<script>alert(/hacker/)</script>
第二关就先把这个最简单的攻击语句放上去看看
1<script>alert(/hacker/)</script>
没有出现弹窗,看下页面源代码。12<input name=keyword value="<script>alert(/hacker/)</script>"><input ty...
XSS攻击和SQL注入都是web安全中很常见的攻击方式,最近先学习XSS攻击,待到XSS学完后再去学习SQL注入,哇(感慨一番),这些知识真的太有趣了。
在开始之前,有必要了解一下概念
1、XSS跨站脚本攻击定义
跨站脚本攻击是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者访问者进行病毒侵害的一种攻击方式。为了与层叠样式表的缩写CSS区分开,跨站脚本攻击通常简写为XSS。
2、XSS类型1)反射型XSS
反射型XSS只是简单地将用户输入的数据直接或未经完善的安全过滤就在浏览器中进行输出,导致...
自从做完一个简单的登陆注册页面,发现数据库知识真的很重要,所以要详细的学习一下数据库的知识。
一、数据库基本概念数据库可以理解为用来存储信息的仓库
表:表是数据的矩阵,在一个数据库中的表看起来像一个简单的电子表格。列: 一列(数据元素) 包含了相同的数据, 例如邮政编码的数据。行:一行(=元组,或记录)是一组相关的数据,例如一条用户订阅的数据。冗余:存储两倍数据,冗余降低了性能,但提高了数据的安全性。主键:主键是唯一的。一个数据表中只能包含一个主键,可以使用主键来查询据。表头(header): 每一列的名称;基本概念可以在菜鸟教程中学习菜鸟教程
二、DDL语句对数据库的操作
1).创建数...
最近刚做完一个简易的登陆注册小项目,当时做的时候匆忙,现在来详细的了解一下PHP会话控制这方面的知识。
cookie和seesion技术出现的原因:
当一个用户请求一个页面时,再请求同一个网站上的另外一个页面时,HTTP协议不能告诉我们两个请求是否来自同一个用户,也不能将两次访问联系到一起!所有出现了cookie和seesion.
一、cookiecookie是用来将网站的资料记录在客户端的技术,让web服务器将一些资料存放在客户端(用户的电脑中)。
1、向客户端电脑中设置cookie1setcookie();
2、在服务器端上读取cookie内容1$_COOKIE
3、将多维数组应用...
