[V&N2020 公开赛]HappyCTFd

最新推荐文章于 2023-03-08 16:50:52 发布
最新推荐文章于 2023-03-08 16:50:52 发布
阅读量731 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SopRomeo/article/details/105610909
版权

在这里插入图片描述
ctfd搭建的靶场
逛逛街
发现USER里有个admin用户
在这里插入图片描述
肯定是要我们夺取管理员权限,看到题目标题,直接百度去搜ctfd漏洞
ctfd漏洞参考文献

参考文献已经说的很清楚了,就不在详说了
刚好buu有个邮件系统,创个邮箱

首先注册一个用户名包含空格,默认的管理员是admin,那么就可以注册一个 admin。
然后,退出登录,点重置密码。

这时候邮箱里就会收到一个url,这个url后面拼接的token实际上是属于用户名admin的
将自己注册的账号用户名修改成其他

然后点开链接修改密码,admin的密码就被修改了

根据文章给出的步骤,夺得管理员账号
登录管理员账号,去管理员管理平台
在这里插入图片描述
下载即可得到flag

penson by 小乌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[V&N2020 公开赛]
m0_73756016的博客
06-05 989
启动!还原代码有两个路由,/shell路由执行删除flag.txt,并且执行url中的c参数,但return 1,没有回显结果。实践一下RCE这条路被封死了一半,再看看全文,发现代码中flag_file = open("flag.txt", "r"),这里有一个考点。
[V&N2020 公开赛 web]
weixin_43610673的博客
04-05 1066
HappyCTFd CVE-2020-7245 https://nvd.nist.gov/vuln/detail/CVE-2020-7245 https://www.colabug.com/2020/0204/6940556/ 开始以为是注入,尝试了好一会无从下手,然后看wp知道是cve。。。https://www.zhaoj.in/read-6407.html 注册一个 admin用户...
2020 年 V&N 内部考核赛 WriteUp
12-22
CheckIN 源码 from flask import Flask, request import os app = Flask(__name__) flag_file = open("flag.txt", "r") # flag = flag_file.read() # flag_file.close() # # @app.route('/flag') ...
CCF 2020的比赛.zip
09-30
这个压缩文件的核心内容是"CCF-2020-BeiKe-main",很可能指的是CCF 2020年 BeiKe 主赛的源代码或相关资料。 BeiKe可能是指特定的编程比赛或者挑战,"main"通常表示这是主要的代码库或者项目目录。 在深入讨论之前,...
华为软件精英挑战赛2020比赛代码C++代码
06-05
华为软件精英挑战赛大佬初赛复赛代码总结。想学习的可以学学; 复赛赛题为金融风控的资金流水分析,要求选手基于给定的资金流水,检测并输出指定约束条件(在初赛的基础上增加了对转账金额的判断等)的所有循环转账...
CTF Attack & Defense线下攻防赛比赛技巧.pdf
01-15
不错的资源哦!
2020年ti杯电赛省赛资料.rar
最新发布
02-16
【标签】"2020年TI杯电赛省赛的一个题" 这个标签表明,压缩包中的内容是针对当年比赛中的一项具体题目。每个题目通常会设定特定的技术要求和目标,挑战参赛团队解决实际问题或者提出创新的设计。这可能涉及到硬件...
CVE-2020-7245(CTFd账户接管漏洞)复现
微风飘呀飘
07-03 1783
0x01 漏洞描述 在CTFd v2.0.0-v2.2.2的注册过程中,错误的用户名验证方式会允许攻击者接管任意帐户,前提是用户名已知并且在CTFd平台上启用了电子邮件功能。 0x02 漏洞分析 CTFd v2.0.0版本注册部分的代码 CTFd/CTFd/auth.py#159 CTFd/CTFd/auth.py#207 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
BUUCTF:[V&N2020 公开赛]拉胯的三条命令
末初的CSDN博客
11-03 989
题目地址:https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]%E6%8B%89%E8%83%AF%E7%9A%84%E4%B8%89%E6%9D%A1%E5%91%BD%E4%BB%A4 题目文件zip zip文件,添加后缀zip 说明.txt 在参加网络安全大赛第二届世界巡回赛新加坡站一场与SP战队的比赛时,作为K&K战队主防手的你使用经典的“三条命令”检查端口封闭状况。可是这次比赛平台没有回显,.
[V&N2020 公开赛]CHECKIN
SopRomeo的博客
04-21 933
将python整理一下 from flask import Flask, request import os app = Flask(__name__) flag_file = open("flag.txt", "r") #flag = flag_file.read() #flag_file.close() #@app.route('/flag') #def flag(): # retur...
re学习笔记(48)BUUCTF-re-[V&N2020 公开赛]CSRe
逆向随笔
03-01 1688
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 C#程序,且用Eazfuscator.NET混淆了代码。 使用de4dot工具进行处理 之后使用dnSpy32位打开 找到main()函数 Class3.smethod_0查看发现是对字符串进行sha1加密。 加密后与字符串进行比对。 将加密后的在【cmd5】网站进行查询 得到flag为flag{1415turn} ...
CTF-流量分析 [V&N2020 公开赛]拉胯的三条命令 | SOLVED |
mutou990的博客
08-28 655
参考:https://www.yuque.com/chenyi-ctf/buuoj-wp/gbvphx https://blog.csdn.net/pone2233/article/details/106167361 两个解法: 解法1:用tcpdump命令Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。 还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现:在 Linux 里抓包,然后
V&N招新赛
qq_40648358的博客
03-01 541
文章目录TimeTravelCheckinHappyCTFd TimeTravel 先看源码 <?php error_reporting(0); require __DIR__ . '/vendor/autoload.php'; use GuzzleHttp\Client; highlight_file(__FILE__); if(isset($_GET['flag'])) { ...
文件上传漏洞知识总结
二狗的博客
03-08 410
国光有一台 XPS15 里面运行着 macOS 和 Ubuntu 双系统,其中 XPS 主要系统就是 Ubuntu,国光在 Ubuntu里面搭建了一个离线的 CTFd 里面还运行着 Docker、宝塔。基本上很多服务都可以在我的 XPS 上运行起来了,出去讲课的时候会带着我的 XPS 和MBP 一起,离线靶场一开美滋滋,更关键的是往自己的靶场里面填充题目有一种养成游戏的感觉,很有成就感。
BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证
pone2233的博客
10-29 3239
题目介绍 这道题目,我们要在Buu上面做需要的步骤需要调整,先下载链接内容,然后在下载附加。 BuuCTF难题详解| Misc | V&N 2020 公开赛 内存取证 P1 我们使用volatility,进行镜像分析 volatility -f mem.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on
2020网络安全全国试点赛赛卷
12-08
2020年全国职业院校技能大赛改革试点赛(中职组)网络安全竞赛试题涉及四个模块,分别是基础设施设置与安全加固、网络安全事件响应、数字取证调查和应用安全、CTF夺旗-攻击以及CTF夺旗-防御。竞赛时间安排和分值权重...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值