前言
Buuctf Web 是一个在线安全挑战平台,旨在提高参与者对网络安全的理解和实践能力。本文将详细介绍 Buuctf Web 的特点、挑战和机遇,帮助读者更好地了解这一领域。
一、Buuctf Web 的特点
多样化的挑战场景:Buuctf Web 提供了多种挑战场景,包括 Web 利用、密码破解、CTF 夺旗等,涵盖了网络安全领域的各个方面。
高质量的学习资源:平台提供了丰富的学习资源,包括视频教程、文章、案例分析等,帮助参与者提高技能水平。
实时排名和互动交流:Buuctf Web 支持实时排名和互动交流功能,参与者可以在平台上与其他选手一起讨论问题、分享经验。
二、Buuctf Web 的挑战
技术难度高:网络安全领域涉及的知识面广泛,技术难度较高,需要参与者具备较高的技术水平和学习能力。
时间压力大:在 CTF 夺旗等挑战中,时间是非常宝贵的资源,需要在有限的时间内快速定位问题并找到解决方案。
需要团队协作:在某些挑战中,需要团队协作才能更好地完成任务,如何有效地分工和协作也是一大挑战。
三、Buuctf Web 的机遇
提高技能水平:通过参与 Buuctf Web 的挑战,参与者可以不断提高自己的技能水平,增强在网络安全领域的竞争力。
拓展人脉资源:在平台上与其他选手交流互动,可以结识志同道合的朋友,拓展人脉资源。
获得实践机会:Buuctf Web 的挑战场景都是基于真实场景设计的,参与者在挑战中可以获得宝贵的实践机会。
为未来的工作做好准备:对于那些希望在未来从事网络安全相关工作的参与者来说,参与 Buuctf Web 可以为他们未来的工作做好准备。通过参与 Buuctf Web 的挑战,他们可以了解行业最新的动态和技术趋势,提高自己的职业竞争力。
四、如何参与 Buuctf Web 的挑战?
注册账号:首先需要在 Buuctf Web 平台上注册一个账号。
选择挑战场景:根据自己的兴趣和需求选择相应的挑战场景。
学习相关知识:为了更好地完成挑战,需要提前学习相关知识,如 Web 安全、密码学等。
参与挑战:按照挑战的要求完成相应的任务,与其他选手竞争排名。
交流与分享:在平台上与其他选手交流经验、分享技巧,共同提高技术水平。
总结:Buuctf Web 作为一个在线安全挑战平台,为网络安全爱好者提供了一个学习和交流的平台。通过参与 Buuctf Web 的挑战,不仅可以提高自己的技能水平,还可以拓展人脉资源、了解行业动态并为未来的工作做好准备。希望本文的介绍能帮助读者更好地了解 Buuctf Web 的特点、挑战和机遇,为未来的发展做好准备。
一、被的神秘礼物(Wireshark 追踪流 & MD5 加密)
点击链接下载文件
Wireshark 打开,因为题目给出了账号密码,所以直接过滤 http
看到第一个数据包中描述有 login,应该就说登录的请求,直接跟踪 HTTP 流
将 name 和 word 拼在一起:adminaadminb,在第三方网站加密得到 flag
二、[BJDCTF2020] 认真你就输了(Binwalk 提取)
点击链接下载文件
打开后是一张表格
没有找到 flag,使用 Binwalk 查看发现有很多个 ZIP
提取出来找到 flag
三、被偷走的文件(Wireshark 追踪流 & Binwalk 提取 & Archpr 爆破)
点击链接下载文件
使用 Wireshark 打开,题目给出了盗走文件,整体过一遍流量后发现 FTP 协议
过滤 FTP 找到了 flag.rar
使用 Binwalk 分析一波
提取出来后发现需要密码打开
使用 Archpr 爆破(四位纯数字)
打开文件得到 flag
四、[BJDCTF2020] 藏藏藏(Foremost 提取 & QR Research 扫码)
点击链接下载文件
打开文件有一张图片,另一个主要是提交格式
使用 Binwalk 分析,但是提取不出来
使用 foremost 提取
在 output 目录中有个 zip 文件,解压缩后打开是一张二维码
使用工具 QR Research 打开拿到 flag
五、[GXYCTF2019] 佛系青年(ZIP 伪加密 & 佛论禅解码)
点击链接下载文件
解压文件报错密码错误,应该是伪加密
使用 WinHex 打开,搜索关键字 PK,将 09 更改为 00
保存后正常解压缩不会报错了
打开 fo.txt
猜测为佛论禅密码,第三方网站解密
六、[BJDCTF2020] 你猜我是个啥(file 查看 & mv 重命名 & WinHex 搜索)
点击链接下载文件
解压缩无法打开
在 Kail Linux 中使用 file 命令检测文件类型为 PNG
使用 mv 命令重命名为 png 类型得到二维码
使用 QR Research 扫码却没找到?
放入 WinHex 中搜索关键字 flag
七、刷新过的图片(F5-steganogtaphy 提取 & file 查看 & mv 重命名 & ZIP 伪加密)
点击链接下载文件
解压缩后有一张图片
根据题目使用 F5-steganogtaphy 工具提取文件,先下载
git clone https://github.com/matthewgao/F5-steganography
使用命令提取(按照网上提取方法报错,ChatGPT 给出的命令执行是正常的)
java --add-exports java.base/sun.security.provider=ALL-UNNAMED -cp . Extract /home/suc2es2/CTF/Misc.jpg
提取出 output.txt 文件
file 检查文件类型为 ZIP
mv 命令重命名
解压缩却报错,应该是伪加密
将 01 改为 00 后保存打开
拿到 flag
八、snake(Binwalk 提取 & Base64 解码 & Serpent 解密)
点击链接下载文件
发现是一张图片,先使用 Binwalk 分析一波,发现有文件则提取
进入文件夹,其中 ZIP 文件解压缩就是另外两个文件
打开 key 文件,= 结尾应该是 Base64 编码
第三方网站解码
What is Nicki Minaj's favorite song that refers to snakes?
妮琪·米娜 (Nicki Minaj) 最喜欢的关于蛇的歌曲是什么?
搜索引擎问一波得到答案:Anaconda(蟒蛇)
其实以上东西都突出一个主题:蛇,应该是关于 Serpent 算法加解密问题
点击链接去往第三方网站
在线解密
http://serpent.online-domain-tools.com/
在类型中可以选择文件,另一个文件 cipher 就起作用了,最下面的 Key 可以输入 anaconda,不然的话解出来就没意义了 
最后解密得到 flag
flag{who_knew_serpent_cipher_existed}
