pythpn安全
文章平均质量分 65
nigo134
菜鸡一个,入门web安全 、、、
展开
-
NO.3-2 [CISCN2019 华北赛区 Day1 Web2]ikun
当时没做出来,大佬复现了环境就做一波题目 第一步提示我们要找到lv6 写个脚本找一下 import requests url="http://web44.buuoj.cn/shop?page=" for i in range(0,2000): r=requests.get(url+str(i)) if 'lv6.png' in r.text: print (i) break 跑的有点慢 找到了lv6发现买不起 应该是要抓包修改 改折扣 然后拿到了后台的地址http://web44.b转载 2021-08-05 15:06:18 · 177 阅读 · 0 评论 -
NO.2-15 [De1CTF 2019]SSRF Me
题目给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_key =转载 2021-07-27 15:40:28 · 154 阅读 · 0 评论 -
NO.20
前言 在BUUCTF上看到这题存在三种解法,感觉比较经典,就想着来复现一下顺便学习一波。存在以下三种解法: flask session 伪造 unicode欺骗 条件竞争 审题 拿到题目发现一共就登录注册两个功能,随便注册一个test/test用户 登录之后查看源码发现提示<!-- you are not admin -->,根据提示和题目名估计要让我们登录admin用户就可以得到flag。 在change password页面查看源码,发现提供了题目的源码地址 <!--转载 2021-07-23 17:32:44 · 206 阅读 · 0 评论 -
flask session破解脚本
#!/usr/bin/env python3 import sys import zlib from base64 import b64decode from flask.sessions import session_json_serializer from itsdangerous import base64_decode def decryption(payload): payload, sig = payload.rsplit(b'.', 1) payload, timestam.原创 2021-07-10 01:06:12 · 1394 阅读 · 0 评论