[MRCTF2020]PYWebsite 1

最新推荐文章于 2024-08-05 14:32:41 发布
最新推荐文章于 2024-08-05 14:32:41 发布
阅读量784 收藏 1
点赞数 1
分类专栏: 比赛wp 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/113529353
版权

F12之后看判断正确后的反应
在这里插入图片描述
跳转到/flag.php界面,那就直接去呗
在这里插入图片描述
就知道没这么简单,发现除了购买者之外还写了个我自己,花钱是不可能花钱的,就是伪造xff呗,改成本地访问不就自己了
懒得开burp直接在谷歌插件改了
在这里插入图片描述
在这里插入图片描述
完工

huamanggg
关注
专栏目录
BUUCTF [MRCTF2020]PYWebsite
Chu_Jian_Xiong的博客
10-16 374
[MRCTF2020]PYWebsite 记录一次刷题,不是因为有什么技巧,而是因为简单到令人意外。 一顿分析源码什么的一顿瞎搞 目录一扫直接就出flag.php了,访问一下 抓包看看 没什么特别的,加个X-Forwarded-For: 127.0.0.1看看 flag{2323496f-10f1-45b1-ae61-1a56bf906fca} 就扫个目录改个包就出来了,很离谱… ...
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 441
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
BUUCTF Web [MRCTF2020]PYWebsite1 & [NPUCTF2020]ReadlezPHP1
网安小趴菜
11-17 609
BUUCTF Web [MRCTF2020]PYWebsite1 & [NPUCTF2020]ReadlezPHP1 wp
[MRCTF2020]PYWebsite-1
最新发布
kw741951的博客
08-05 288
提示看到,需要后端审计代码,而且应该要改ip,改成自己本地,burp抓包看一下。改X-Forwarded-For:127.0.0.1。看到flag.php试着打开。打开以后查看源码信息。
[MRCTF2020]PYWebsite
LYJ20010728的博客
06-11 249
[MRCTF2020]PYWebsite考点思路Payload 考点 X-Forwarded-For 思路 进入题目环境,题目描述是需要授权码才能够买flag,随便尝试一下发现没啥思路,F12查看一下,发现存在JavaScript代码提示 由于其为前端代码,所以我们直接访问 ./flag.php即可 文字提示其已经将够买flag人的IP保存了,尝试X-Forwarded-For进行伪造,发包得到flag Payload JavaScript代码提示 function enc(cod
[MRCTF2020]PYWebsite -wp
freerats的博客
08-04 1367
查看源码 发现一段前段验证,然后发现在目录下有一个flag.php 提示验证在后端,所以前面那个前端验证没用(也正常,前端验证都可以直接修改) 购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试。 bp抓包 发现xff可以直接获得flag ...
BUUCTF之[MRCTF2020]你传你呢 1
qq_44122254的博客
02-10 1990
打开题目靶场,发现是一个上传页面 随便上传一个文件进行试验一下 发现对此文件有进行过滤 上传一个图片进行尝试,发现可以上传png图片,制作图片码进行上传 图片码内容如下 发现可以上传成功但是蚁剑连接的话并不能够连接成功,数据为空 ...
buu-[MRCTF2020]Xor
qaq517384的博客
03-06 324
32位无壳 执行 ida查看字符串
从零开始做题:[MRCTF2020]不眠之夜-wp
weixin_44626085的博客
11-25 1090
从观察题目发现有121张图片,其中1张是损坏的,需要先删除查看发现每张图片的像素大小是200x100(长X高)查看相关信息发现此题涉及到gaps和montage的联合使用montage的作用是把乱序图片先按的总大小拼成一张图gaps的作用是将一张图按指定的size切割并尝试将其拼好。
BUUCTF [MRCTF2020] PYWebsite
Senimo
01-05 560
[MRCTF2020]PYWebsite 考点: 1. 启动环境: 提示需要购买flag,首先对题目进行信息收集,查看网页源码时,发现: <script> function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if (c
BUUCTF WEB PYWebsite1
qq_41696858的博客
12-28 477
这题没啥好说的,经典买flag,在页面源码里找到了个这 function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if (code != ""){ if(hex_md5(code) == "0cd4da0223c0b280829d
buuctf misc [MRCTF2020]ezmisc 1
05-16
这是一个关于MRCTF2020比赛的misc题目,题目名称为ezmisc 1。不知道你需要什么样的帮助,我可以给你一些关于此题的信息。 题目描述: There are some problems to solve! Each problem corresponds to a flag. Please submit the flags to get your points! 解题思路: 这道题目是一个较为简单的misc题目,我们需要在给定的文本中找到flag,每个flag对应一个问题。比如说,第一个flag对应的问题是: What is the capital of China? 在文本中找到答案"Beijing"即可得到对应的flag。 其他的问题和答案大概率也可以在文本中找到,需要稍微仔细一些,比如有一些问题是需要计算的。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值