ctf

落寞的魚丶3 天前
ctf·2025河北省赛·2025河北第二届技能大赛·模块b
2025年河北省第二届职业技能大赛网络安全项目 模块 B样题任务书1 竞赛项目简介 本文件为:河北省第二届职业技能大赛网络安全项目-模块 B 样题; 本次比赛时间为 5 个小时。 1.1 介绍 夺旗挑战赛(CTF)的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现 网络安全渗透测试工作。 本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等技术完成 对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的 flag 值。 1.2 所需的设施设备和材料 所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。 1.3 评分方案
无极工作室(网络安全)3 天前
ctf·隐写术
CTF-Pixel系列题目分析对于ctf比赛中,遇见频率并不高的像素题进行一个小总结。乍一看是一个像素点的图片看一下大小是31*31
lally.5 天前
web·ctf
TPCTF 2025 web 复现在index.js文件中,看到了有使用DOMPurify库来防止XSS操作 在package.json里可以看到版本是3.2.4,关于3.2.3是有绕过策略的。它会把script标签清除掉,去看bot可以看到flag是放到cookie里的
Sweet_vinegar5 天前
安全·ctf·base64·bugku·crypto
简单加密(BUGKU)e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA,这个题目没什么特征,猜想可能是某种少见的base编码被进行了其他形式的处理
huan666*13 天前
web安全·网络安全·ctf
CTF类题目复现总结-[MRCTF2020]CyberPunk 11、下载题目给的附件,解压是一个exe程序; 2、运行程序,提示It will on 2020.9.17; 3、将系统日期改成2020.9.17,再重新运行程序,得到flag;
见青..14 天前
笔记·web安全·网络安全·ctf
WEB-CTFyj解题视频笔记(持续更新)【Ea_login】解题思路:随便试用户名,报错后会提示用户名为admin,接着随便试密码,报错无提示,用bp抓包
H轨迹H14 天前
网络安全·渗透测试·vulnhub·ctf·信息收集·web漏洞·oscp
Vulnhub-venom对于该靶机,注意利用了信息收集来的21端口和80端口,网站源码发现账户,ftp匿名登录密码猜测,维吉尼亚解密,后台管理员登录,CVE文件上传RCE漏洞利用反弹shell,提权有两中,利用版本内核提权和查看泄露的信息一步步提权,最终利用suid下的find命令提权
栀寒老醑15 天前
笔记·python·网络安全·密码学·ctf·crypto
密码学笔记1. CIA三要素2. 密码学与隐写的区别1. 凯撒密码Python代码示例代码解释:2. 栅栏密码Python代码示例
H轨迹H15 天前
网络安全·渗透测试·ctf·文件上传·web漏洞
文件上传fuzz工具-Upload_Auto_Fuzz在日常遇到文件上传时,如果一个个去测,会消耗很多时间,如果利用工具去跑的话就会节省很多时间,本Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload。
Sweet_vinegar16 天前
git·安全·web·ctf·ctfshow
版本控制泄露源码 .gitGit 是一个开源的分布式版本控制系统,在执行 git init 初始化目录时,会在当前目录下自动创建 .git 目录,记录代码的变更记录等。发布代码时,如果没把 .git 目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码。
Sweet_vinegar16 天前
安全·svn·web·ctf·ctfshow
版本控制泄露源码 .svnSVN(subversion)是源代码版本管理软件,造成 SVN 源代码漏洞的主要原因是管理员操作不规范。“
H轨迹H16 天前
网络安全·渗透测试·vulnhub·ctf·信息收集·web漏洞·oscp
Vulnhub-sundown总结:该靶机是一个wordpress管理系统,需要信息收集得到插件信息,然后搜索插件漏洞,得到一个文件包含exp,利用其得到一个普通用户,利用hydra爆破密码然后ssh连接,信息收集得到一个数据库配置信息,普通命令无法查看,需要利用文件包含查看,最后利用账号密码登录mysql,然后利用UDF提权拿到root权限
H轨迹H17 天前
网络安全·渗透测试·vulnhub·ctf·信息收集·web漏洞·oscp
Vulnhub-Source-1(CVE-2019-15107)选择打开选项选中下载的ova文件,然后导入选择一个存放路径即可如果遇到不兼容的情况,可以打开.vmx修改,改为和虚拟机一个版本号
亿.618 天前
web·ctf·writeup·ghctf
GHCTF2025--Web很明显的ssti, 过滤的内容也不多 直接编码绕就行 payload:直接访问 /file/1.txt就行
H轨迹H19 天前
网络安全·渗透测试·vulnhub·ctf·信息收集·web漏洞·oscp
Vulnhub-election靶机总结:本靶机给了很多目录,对于信息收集考察的比较严格,给了一个数据库,很多时候容易陷进去,拿到用户权限登录后,也需要大量的信息收集,虽然可以在数据库里找到root和密码,但是不是靶机本身的,最终利用suid发现可疑目录,查找日志后利用脚本提权
亿.619 天前
web·ctf·writeup
阿里云CTF2025 ---Web啊?怎么整个五个算法题给CTF选手做??这我不得不展示一下真正的技术把测评机打穿。可以看到源码关键代码:
合天网安实验室20 天前
ctf·ctf逆向·apoorvctf
ApoorvCTF Rust语言逆向实战上周参加了国外的比赛,名称叫:ApoorvCTF看一下老外的比赛跟我们有什么不同,然后我根据国内比赛对比发现,他们考点还是很有意思的,反正都是逆向,哈哈哈
Мартин.22 天前
ctf·htb
[Meachines] [Easy] Luanne Lua RCE+bozoHTTPd LFI+NetBSD-Dec+doas权限提升$ ip='10.10.10.218'; itf='tun0'; if nmap -Pn -sn "$ip" | grep -q "Host is up"; then echo -e "\e[32m[+] Target $ip is up, scanning ports...\e[0m"; ports=$(sudo masscan -p1-65535,U:1-65535 "$ip" --rate=1000 -e "$itf" | awk '/open/ {print $4}' | cut -d '/' -
Sweet_vinegar23 天前
安全·php·web·ctf·ctfshow
WEB12~13首先跟上几题一样,flag在config.php里,但是过滤更加严格了,cat和php之类的全过滤了,怎么办?
H轨迹H25 天前
网络安全·渗透测试·vulnhub·ctf·信息收集·web漏洞·oscp
Vulnhub-Zico2靶机-漏扫弱口令数据库+文件包含反弹shell+zip,tar提权选择扫描虚拟机选择路径即可先看一下官网的信息靶机ip:192.168.108.147得到以下信息可用信息: