S3cCTF由gyy出题,包含Web和Misc两类挑战。Web部分涉及HTML知识、鼠标和F12限制、XFF与Referer、302重定向、PHP与Python计算、Vim应用、文件上传和XXE注入。Misc部分涵盖信息搜索和社工题目,解答涉及RFC文档、网络安全宣传周、校园地图、C语言标准等。挑战鼓励参赛者深入学习和研究。
S3cCTF-gyy-Writeup
出题人:gyy
写在前面:
本次招新赛我主要负责WEB方面的出题,当然兼顾一些MISC,本着简单易懂的原则,刚开始出了很多简单WEB题,但是这届新生的实力明显比我们当时强= =,后期又赶了一些提升题,当然和真正的CTF比赛还是有非常大的距离,例如在群里放出的周六的题目可以看出。所以,这些只是入门CTF的基础,去年的这时,我们参加的招新比赛比今年更加困难(所以今年我有同感地出了不少简单题),我希望大家不要止步于此,当初我也有一腔热血,觉得CTF不过如此(甚至还想双休)。但,走的越高,越会发现自己越渺小,这条道路可能还没有尽头。技术可以后期培养,这次招新比赛分数也只能作为检测基础的测试,如果你有强烈的意向和兴趣,比比赛成绩更为重要,我们欢迎你和我们联系,希望大家不忘初心,砥砺前行。
WEB
How_to_solve_ctf
出题解析
本题旨在指引大家,考了一下HTML的知识
解题方式
F12查看源代码,给了提示<!-- html元素是可以修改的 -->
修改form表单里input文本框的长度限制,提交s3c2020即可获得flag
由于是GET传参,也可以直接传key=s3c2020即可
nof12
出题解析
本题利用script限制了鼠标右键和f12
解题方式
与题目 S3C_NOT_BAD 重复,Ctrl+U或者burp抓包或者curl访问都可
Local
出题解析
本题旨在考XFF(X-Forwarded-For)和Referer
伪造地址三种方式:
Client-Ip: 127.0.0.1
X-Forwarded-For: 127.0.0.1
Host: 127.0.0.1
Referer: 127.0.0.1
解题方式
只有本地管理员才能访问本页面!
burp抓包修改即可
Flag not found
出题解析
302重定向
//flag.php
<?php
header('Flag: '.base64_encode("s3c{0H_mY_g0d_its_4O4}")); //修改 X-Powered-By信息
header('location:404.php');
?>
//404.php
<h1>Not Found</h1>
<!-- 才怪 -->
<?php
@header("http/1.1 404 not found");
@header("status: 404 not found");
echo "<p>The requested URL /flag.php was not found on this server.</p>";
exit();
?>
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
