如何用 Python 提取网页中隐藏的 flag？

在 CTF 比赛或 Web 安全测试中，常常需要从网页中提取隐藏的 flag。flag 可能隐藏在 HTML 源码、JavaScript 变量、CSS、图片、注释、甚至是 WebSocket 通信中。Python 提供了强大的网络请求和文本处理能力，非常适合用于自动化提取网页中的 flag。 --- ## ✅ 一、基本思路 1. **使用 requests 获取网页源码** 2. **使用正则表达式提取 flag** 3. **支持 flag 格式：flag{...}、FLAG{...}、key{...} 等** 4. **可选：支持从 JavaScript 变量中提取 flag** 5. **可选：支持从图片中提取 flag（隐写术）** --- ## ✅ 二、Python 示例代码（提取 HTML 中 flag） ```python import requests import re # 网页地址 url = "http://192.168.8.51/" # 发送请求获取网页内容 response = requests.get(url) html_content = response.text # 定义 flag 正则表达式（支持 flag{...}, FLAG{...}, team5{...}, TEAM5{...}, key{...}, KEY{...}） flag_pattern = re.compile(r'(flag\{.*?\}|FLAG\{.*?\}|team5\{.*?\}|TEAM5\{.*?\}|key\{.*?\}|KEY\{.*?\})') # 查找所有匹配的 flag flags = flag_pattern.findall(html_content) # 输出结果 if flags: print("✅ 在网页中找到以下 flag：") for flag in flags: print(flag) else: print("❌ 未找到 flag") ``` --- ## ✅ 三、代码解释 | 代码部分 | 说明 | |----------|------| | `requests.get(url)` | 向目标网页发送 HTTP 请求 | | `re.compile(...)` | 编译一个正则表达式，用于匹配 flag | | `findall()` | 从 HTML 内容中查找所有匹配的 flag | | `print(flag)` | 输出找到的 flag | --- ## ✅ 四、进阶：提取 JavaScript 中的 flag flag 有时会被写在 JavaScript 中，例如： ```javascript var secret = "flag{hidden_in_js}"; ``` 我们可以通过正则匹配 JS 中的字符串： ```python # 提取 JS 中的 flag js_flag_pattern = re.compile(r'(["\'])(flag\{.*?\}|FLAG\{.*?\})\1') js_flags = js_flag_pattern.findall(html_content) if js_flags: print("✅ 在 JavaScript 中找到 flag：") for flag in js_flags: print(flag[1]) ``` --- ## ✅ 五、进阶：提取图片中的 flag（隐写术）如果 flag 被隐藏在图片中，可以使用 `stegano` 或 `Pillow` 库提取。 ### 安装依赖： ```bash pip install stegano ``` ### 示例代码： ```python from stegano import lsb from PIL import Image import requests from io import BytesIO # 下载图片 image_url = "http://192.168.8.51/images/flag_image.png" response = requests.get(image_url) img = Image.open(BytesIO(response.content)) # 使用 LSB 隐写术提取信息 hidden_text = lsb.reveal(img) if hidden_text: print("✅ 从图片中提取到隐藏内容：") print(hidden_text) else: print("❌ 图片中未发现隐藏内容") ``` --- ## ✅ 六、进阶：提取 Cookie 或 LocalStorage 中的 flag flag 有时会存储在 Cookie 或 LocalStorage 中，虽然 Python 无法直接访问 LocalStorage，但可以通过 JS 注入提取（需要 Selenium）。 ### 示例（使用 Selenium 提取 LocalStorage）： ```python from selenium import webdriver # 启动浏览器 driver = webdriver.Chrome() driver.get("http://192.168.8.51/") # 执行 JS 获取 localStorage 中的 flag flag = driver.execute_script("return localStorage.getItem('flag');") if flag: print("✅ 从 localStorage 中提取到 flag：", flag) else: print("❌ localStorage 中未发现 flag") ``` --- ## ✅ 七、总结：Python 提取网页中 flag 的关键方法 | 方法 | 说明 | 工具/库 | |------|------|---------| | HTML 中 flag | 使用正则提取 | `re`, `requests` | | JS 中 flag | 提取 JS 字符串 | `re` | | Cookie 中 flag | 提取 Cookie | `requests.cookies` | | LocalStorage 中 flag | 使用 Selenium | `selenium` | | 图片中 flag | 隐写术提取 | `stegano`, `Pillow` | ---

创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考

下一篇如何用 Python 自动化提交 flag？

目录

如何用 Python 提取网页中隐藏的 flag？

Python内容推荐

python脚本显示被恶意隐藏的文件夹

Python提取音频摩斯密码[源码]

摩尔斯电码进阶：如何用Python自动化解码隐藏的Flag？.pdf

古剑山WP CTF竞赛中多种解题思路及Python脚本实践

CTF-python像素画图工具

《循序渐进Python案例教程》全套课件PPT

AWD自动提交flag脚本

流量分析之数据提取1

ctf web解题 找flag夺旗赛概述、原理及应用.pdf

stego-scraper：一种用于CTF竞赛的有用工具，可将图像从页面上刮下来并分析其是否包含隐藏标志

图片隐写（Steganography）是一种将信息隐藏到图片文件中的技术，使其在视觉上难以察觉 这种技术常用于CTF（Capture The Flag）竞赛、信息安全研究或隐私保护 以下是关于图片隐写

BUUCTF隐写题解[源码]

隐藏的信息-题目、WP以及知识点详解.zip

ctf网络安全攻防练习题

CTF常见题型及解题思路.docx

django-feature-flag:简化功能标志

计算机安全Ⅰ实验：利用 oledump.py 分析工具提取宏代码夺旗

CTF音频杂项出题脚本

BlindWaterMark.zip 盲水印

wowOt0u-xd2014-writeup

处理minio文件分析链接的python

minio 文件服务器

minio-py:用于 Python 的 MinIO 客户端 SDK

二、python+前端 实现MinIO分片上传

Python连接MinIO[项目代码]

学生成绩管理系统C++课程设计与实践

别再手动拖拽了！用Lumerical脚本批量创建FDTD仿真结构（附完整代码）

Java邮件解析任务中，如何安全高效地提取HTML邮件内容并避免硬编码、资源泄漏和类型转换异常？

RH公司应收账款管理优化策略研究

新手别慌！用BingPi-M2开发板带你5分钟搞懂Tina Linux SDK目录结构

ctf web解题找flag夺旗赛概述、原理及应用.pdf

图片隐写（Steganography）是一种将信息隐藏到图片文件中的技术，使其在视觉上难以察觉这种技术常用于CTF（Capture The Flag）竞赛、信息安全研究或隐私保护以下是关于图片隐写

二、python+前端实现MinIO分片上传