Catf1agCTF-WEB签到

最新推荐文章于 2025-08-22 13:05:42 发布

白猫٩

最新推荐文章于 2025-08-22 13:05:42 发布

阅读量528

点赞数 9

CC 4.0 BY-SA版权

分类专栏： CTF做题笔记文章标签：网络安全 web安全 ctf 前端 PHP python F12

本文链接：https://blog.csdn.net/m0_73734159/article/details/134897422

CTF做题笔记专栏收录该内容

58 篇文章

订阅专栏

博客围绕CTF题目解题展开。通过F12查看源代码，用Ctrl+F搜索常见flag格式未找到结果。猜测出题人将正确flag反转，搜索反转后的关键字找到假flag，最后用脚本复原得到正确flag。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

题目环境

F12查看源代码

考虑到此平台大多flag格式都是catf1ag
那么就斗胆搜索此关键字

Ctrl+F进行搜索

有19种包含结果
结果都没有发现flag的存在

毕竟是签到题也不要想太麻烦
既然出题人说了有flag的存在
那就肯定不会骗我们

最后猜测到一个非常有意思的出题方式
猜测出题人把正确的flag进行反转了

搜索ga1ftac

找到你了！
果不其然将正确的flag进行了反转
flag{give_you_false_flag}给你假的flag

正确的flag被反转
}!!!_ogogog_!!!_ftcga1ftac_ot_emoclew{ga1ftac
通过脚本复原flag

flagf='}!!!_ogogog_!!!_ftcga1ftac_ot_emoclew{ga1ftac'
#flag初始值
flag=flagf[::-1]
#反转flag初始值
print(flag)
#复原后的flag值

得到flag：
catf1ag{welcome_to_catf1agctf_!!!_gogogo_!!!}

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

白猫٩

关注关注

9
点赞
踩
10

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

catf1agCTF WEB部分（write up）

Tiny_Hacker的博客

05-05

1796

首先查看hint查一下这个hintPHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的get_headers()函数存在安全漏洞。攻击者可利用该漏洞造成信息泄露。将get_headers（）与用户提供的URL一起使用时，如果URL包含零（\ 0）字符，则URL将被静默地截断。点击题目链接F12查看源代码，在响应头里发现了hint这里提示我们flag在本地地址，使用bp抓包弄完之后，有要求我们的本地地址必须是以123结尾的，再次更改。

catf1ag Web writeup(wp) 可能会持续更新

m0_54850952的博客

02-22

405

文章目录命令执行之我在干什么签到题 webshell 无字符webshell int 命令执行《我的女友是机器人》变量覆盖_extract 等于False 啥都没了文件包含 strcmp easy_serialize 什么?有后门 easy_js get_file 命令执行之我是谁 secret_key easy_flask 小矛盾 where is flags? random_flag xxelab_1 CGI xxelab2 urldecode 命令执行之我在哪 ENV 命

参与评论您还未登录，请先登录后发表或查看评论

Catf1agCTF——Web（刷题记录片）

weixin_62074861的博客

04-26

783

Catf1agCTF——Web

Catf1ag CTF Web（一）

热门推荐

Flag少侠的博客

08-17

1万+

Catf1agCTF 是一个面向所有CTF（Capture The Flag）爱好者的综合训练平台，尤其适合新手学习和提升技能。该平台由catf1ag团队打造，拥有超过200个原创题目，题目设计注重知识点的掌握，旨在帮助新手掌握CTF相关的各种技能。除了新手题目，平台也包含难度不一的题目，适合不同水平的CTF参与者。平台上的题目类型多样，包括WEB、MISC、CRYPTO、LINUX、PWN/ATTACK、REVERSE等，题目分数制度从60分到100分不等，难度从1星到5星。

Catf1agCTF-Web通关合集

m0_74606212的博客

03-03

1726

Catf1agCTF-Web详细分析，适合新手刷ctf题训练

【ctf.show-web赛题】

一纸荒芜的博客

03-21

3594

主要分享自己做题的心得和积累，共勉之。

catf1ag crypto writeup

zip471642048的博客

01-13

734

偶变异了把secret字符复制下来根据flag格式即可知道异或规则,得到flag后,把*替换成- a = '''bcwb4g`s;hj>;j:t<%"$q;&)|y6%x- AG@ELINP''' f = 1 for i in a: print(chr(ord(i)^f),end='') f +=1 catf1ag{2ba26d5d-710d-11ec-9ea2-3c7c3fb9e9bb} ...

catf1ag misc writeup

zip471642048的博客

12-05

1108

lsb看了都说big 题目是lsb隐写加steghide加密 zsteg 1.jpg -a 发现b1,rgba,msb,yx存在base64形式的图片可以利用lsb脚本进行提取然后用浏览器打开然后其实这个题目就提示了是lsb隐写密码是big只不过很难看出 steghide extract -sf 3.jpg -p big flag{reward_yourself} ...

catf1ag web题目 WriteUp(wp)

Anton1a的博客

01-16

8257

catf1ag web题目 WriteUp

一文解读，网络安全行业人才需求情况《网络安全产业人才发展报告》

weixin_59086772的博客

10-18

8753

随着近几天国家网络安全宣传周在全国各地开展活动，网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里，惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何？该怎么提升自我能力，更快地加入网安行列。今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。一、网络安全行业市场发展情况网络时代生活越来越离不开网络，与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障，个人和企业等重.

【网络安全实验报告】实验六：病毒防护实验

m0_73970214的博客

08-18

443

本实验通过Metasploit框架演示"永恒之蓝"漏洞的渗透过程。在KaliLinux环境下，首先使用smb_ms17_010模块扫描目标网段，确认靶机存在漏洞后，切换至ms17_010_eternalblue攻击模块进行渗透。成功获取权限后，上传并执行勒索病毒Wcry.exe，验证文件加密效果。实验需注意环境配置和系统版本确认，完整过程记录和成果文件可通过指定网盘链接获取。实验展示了永恒之蓝漏洞的完整利用链，包括扫描、渗透、载荷传递等关键环节。

Web安全攻防基础

qq_62189139的博客

08-19

1222

本文总结了常见的Web安全漏洞及防范措施。主要内容包括：1）SQL注入的原理、防范技巧和基本流程，强调预编译是最有效防范方式；2）XSS的分类（反射型、存储型、DOM型）及修复方法，建议输入输出过滤；3）文件上传漏洞的检测手段和绕过方式，如解析漏洞利用；4）业务逻辑漏洞类型（验证绕过、越权访问等）；5）CSRF、XXE漏洞原理及与XSS的区别；6）文件包含漏洞的防范措施；7）Tomcat远程部署漏洞利用方法。

【学习笔记】网络安全专用产品类别与参考标准

tpriwwq的专栏

08-21

743

本文系统梳理了我国网络安全领域的技术标准体系，涵盖36类网络安全产品和系统的国家标准（GB）和行业标准（GA）。

安全、高效、可靠的物理隔离网络安全专用设备———信刻光盘安全隔离与文件单向导入系统！

最新发布

cdprinter的博客

08-22

115

CRaxsRat v7.4：网络安全视角下的深度解析与防护建议

lzj781210的博客

08-21

146

CRaxsRat v7.4 并不是普通用户能“利用”的工具，它在现实中大多扮演着木马病毒的角色。对于我们而言，最重要的并不是学习如何使用，而是要了解它的危害，增强防范意识。只有不断提升个人的信息安全素养，才能在数字时代保护好自己的隐私与财产。

软件测试:如何利用Burp Suite进行高效WEB安全测试

2503_92839163的博客

08-20

421

Burp Suite 被广泛视为 Web 应用安全测试领域的行业标准工具集。要发挥其最大效能，远非简单启动扫描即可，而是依赖于测试者对其模块化功能的深入理解、有机组合及策略性运用。一次高效的测试流程，始于精细的环境配置与清晰的测试逻辑。

常见WEB安全漏洞及防护措施

u012758488的博客

08-21

316

中如何防范常见的Web安全漏洞，包括SQL注入、XSS攻击、防盗链、CSRF攻击、文件上传漏洞和DDOS攻击等。攻击者诱导用户访问恶意页面，该页面自动向已认证的网站发起请求，利用用户的登录状态执行非授权操作。当应用直接将用户输入拼接到SQL语句中，攻击者可以插入恶意SQL片段，执行非授权操作。攻击者向网页注入恶意脚本，当其他用户浏览该页面时，脚本执行并窃取用户信息或进行恶意操作。盗链是指其他网站直接链接到你的静态资源（如图片、视频），消耗你的服务器带宽。-- 危险方式：避免使用v-html -->

macOS Base64命令在网络安全中的应用

Liu_Bruce的博客

08-21

1112

对你而言，base64绝不仅仅是一个简单的编码工具。攻击者的“隐身衣”：用于混淆流量，绕过防御。防守者的“线索”：异常Base64流是威胁猎杀的重要指标。CTF选手的“瑞士军刀”：解决杂项、隐写、取证题的基础技能。熟练掌握它的命令行用法，并能敏锐地在各种场景中识别和应用它，是你专业技能的重要组成部分。希望这份详细的讲解对你有帮助！