BSidesTLV 2019 CTF WriteUp(附CTF环境)

访客6年前黑客工具885


0×01 前语
BSidesTLV 2019 CTF是2019年6月19日的一次CTF竞赛,原本这个WriteUp早就想写了,可是竞赛完毕没环境复现,直到最近发现官方竟然放出了竞赛环境。
CTF竞赛环境下载:
magnet:?xt=urn:btih:849BC74CE4939E40D244F899D693F55AFB1D2FE7
格局:Virtual Machine (Virtualbox - OVA)
体系:Linux
CTFD用户账户    user:user
CTFD Admin 账户    bsidestlv:bsidestlv
Boot2Docker SSH:    docker:tcuser
0×02 WriteUp
Redirect me
标题地址:http://challenges.bsidestlv.com:8081

翻开地址咱们能够发现页面在重定向


咱们检查呼应内容没有发现有价值的头绪,只知道它一直在重定向,这时咱们注意到18.html,那么flag会不会还在后边呢,咱们修正一下。发现公然持续重定向到37.html,终究在40.html发现了头绪。

检查response内容得到FLAG

IH8emacs
标题地址:http://challenges.bsidestlv.com:8443
翻开标题地址咱们能够看到十分富丽的网站

从标题的称号和描述来看,应该是要先寻觅emacs创立的备份文件。Emacs,闻名的集成开发环境和文本修改器。当运用emacs修改文件时,它会在称号的结尾创立一个带有波涛号的备份。

咱们来测验主页有没有备份文件
http://challenges.bsidestlv.com:8443/index.php~

咱们找到了一段被注释的代码,往下面翻,发现了被注释的办理界面地址。

http://challenges.bsidestlv.com:8443/administration/
拜访该页面,发现需求登录。

咱们或许需求去寻觅登录凭据
.htaccess~
.htpasswd~
在.htpasswd~中发现登录凭据

运用john破解hash

bsidestlv:performa
复制粘贴破解少了个bs,不影响成果,加上就好了。终究登录得到FLAG

Creative Agency
标题地址:http://challenges.bsidestlv.com:3333
描述直接给了flag绝对路径

在阅读网站中咱们发现了图画的加载很古怪

/img?file=ƃdɾ˙1punoɹƃʞɔɐq/ƃɯı/˙

[1] [2] [3] [4]  黑客接单网

相关文章

微信显示,找黑客攻击私服一次多少钱,上网找黑客让交协议费

else if (!String.IsNullOrEmpty(typeValue = context.Request.QueryString["theme"])) {...

黑客青幕山,微信被骗了找黑客有用吗,怎么找黑客买软件

从网站下载最新的软件得到一款名为Black Spider的黑帽辅佐软件。 /// <param name="connection"></param>http:/...

微信如何定位自己位置,南宁找黑客帮忙,找一个黑客朋友

// Copyright (c) Microsoft. All rights reserved.... 这其实是一场信号争夺战,那么有没有办法让无人机更安稳的更安稳接纳咱们的信号呢?假如咱们把跳频时...

相册空间,找黑客猎人队,找专业黑客 联系方式

经测验,GET、POST、COOKIE均有用,彻底bypass1)assert是函数,eval不是函数,是言语结构器呼应: windows/beacon_http/reverse_http一般在...

中国安全网_找黑客盗个盗号多少钱-找黑客查手机通话记录

「中国安全网_找黑客盗个盗号多少钱-找黑客查手机通话记录」一旦弹出“Scripted Web Delivery”窗口,就会填写所需的参数。 您能够修正它们以满意您的需求:这儿运用 Python 的 P...

黑客接单 免定金2017_我想找个黑客怎么找

V3版别首要,咱们在视频中看到了经久不衰的“神器”猫池。 网络金融违法2017年11月中旬,Managed Defense承认并呼应了针对工程职业客户的要挟活动。 进犯者运用盗取的凭证和揭露可用的东西...