大方子-CSDN博客

原创【PolarCTF】爱你

查看网上的wp，才注意到RGB这边504B这个zip压缩文件头，说明这里LSB有隐藏zip压缩文件。然后主要使用Ctrl+Shift+V进行粘贴，否则会粘贴为文本内容，而不是十六进制里面的内容。打开010，先Ctrl+N，新建文件，同时注意打开十六进制显示形式。使用stegsolver提取内容，另存为txt文档。可以发现压缩包最后的提示内容，rfc4042。然后导入到excel中，只需要后2列的内容。ZIP压缩文件头：50 4B 03 04。ZIP压缩文件尾：50 4B 05 06。最后另存为1.zip。

2026-02-09 20:55:43 184

原创【PolarCTF】rce1

这里作者耍了个小心机，页面显示的是？，实际flag要在网页源代码中才能看到。先尝试ls命令，得到flag的文件名。所以我们需要绕过空格过滤，成功执行。通过${IFS}来代替空格。可知flag的文件为。

2026-02-07 17:13:27 131

原创【Bugku】nextGen 2

先尝试nextGen 1的方法直接去读flag.txt，但是发现没有回显但是状态码是200，估计是被过滤了。发现出现page not found，按道理来应该是存在flag.txt的。下面这些绕过127.0.0.1过滤的payload都可以。那么就是有可能是过滤了127.0.0.1。换一个payload。

2026-02-02 11:07:17 128

原创【Bugku】nextGen 1

点击网页的功能点，发现burp中有一个request的数据包，里面包含了要请求的地址。那么这样的话大概率存在ssrf漏洞，根据题目提示，直接去读取flag.txt。

2026-02-02 11:06:01 293

原创【BugkuCTF】Whois

但是这里需要绕正则，通过正则可知我们无法使用常规的方法来拼接命令。这里回车符不行，但是换行符可以。具体执行的命令大概如下所示。这样子后端的命令就变成了。

2026-02-02 11:04:09 194

原创【PolarCTF】bluetooth test

复制出来，在删除空格的时候，注意别多删了，然后通过cyberchef进行md5加密得到flag。当看到22的时候，发现有很多的0，这种0往往跟关闭相关联。添加筛选器，只看command，因为提示信息说了是命令。打开发现既有Command和Event。下载一个log文件和一个txt文件。使用CPAS-11加载log文件。只看有Data数据的，Frame。通过frame排序排下。txt文件有提示信息。

2026-01-28 23:19:46 59

原创【PolarCTF】爆破鬼才

为了省时间，可以先爆破纯数字的，如果没有爆破出来再混合字母，一般比赛位数8位就够了，比赛的密码不会设置的很长。结合题目信息，可知这个zip需要进行爆破。拖入随波逐流，发现存在zip文件。

2026-01-28 22:29:07 293

原创【PolarCTF】LSB

点击【analyse】->【Data Extract】然后选择RGB通道即可得到隐写内容。也可以直接使用steg直接解。由题目可知是LSB色到隐写。拖入stegsolve。直接拖入随波逐流梭哈。

2026-01-28 22:28:27 276

原创【PolarCTF】docx隐写

除了上面的方法也可以用，组合键全选内容，单击鼠标右键选择“字体”，取消勾选“隐藏”，可以看到隐藏的内容。这里除了用随波逐流提取，也可以手动将文档的后缀改为zip进行解压获取。然后在文件->选项->显示->隐藏文字得到第二段flag。使用随波逐流软件直接提取，在压缩包中找到第三段flag。将其拖入随波逐流，提示有zip文件。全文染色得到一段flag。

2026-01-28 22:27:43 43

原创【PolarCTF】$$

GLOBALS是一个关联数组，它包含了当前脚本中所有全局变量的列表。数组的键是变量名，值是对应的变量值。可以看到include了flag.php文件，这里我们可以传入$GLOBALS。

2026-01-28 22:26:37 51

原创【PolarCTF】超级简单的流量

直接通过wireshark快速定位flag。然后通过追踪TCP流，将flag复制出来。

2026-01-28 22:25:25 31

原创【PolarCTF】login

可以看到不同账号登录成功后返回的内容组成flag。这里发送到intruder，进行爆破。提示成功登录，但是没有任何内容。查看源代码，发现有提示。

2026-01-23 00:44:16 19

原创【PolarCTF】浮生日记

可以看到只过滤了一次<script>，但是还没有触发弹窗。很明显是个XSS，尝试常规语句发现会过滤script。我们看下源代码，发现需要对value进行闭合。

2026-01-23 00:43:05 24

原创什么？jwt还有弱口令

注意这里没有固定的密钥，每个人登录都是会变动的，需要自己抓取自己破解属于自己的密钥。然后抓包把里面的jwt密文放到无影里面破解。这里我使用官方的字典。

2026-01-19 13:40:28 40

原创【好靶场】你一定是Python大师

考察的是python逆向，下载得到一个pyc文件。需要pip安装uncompyle6来进行逆向。根据网上的教程，我弄了一个3.10的虚拟机。然后对pyc进行逆向，得到源代码。重新安装uncompyle6。丢入带AI中进行，逆向解密。但是这里我的版本太高了。

2026-01-19 11:11:24 32

原创优惠卷漏洞

直接抓【新用户专项卷】数据包，多发送几次就有flag。

2026-01-16 04:00:00 48

原创购买物品场景

刚开始的时候我抓的智能手环的包，改为-99一直刷钱，以为买东西成功后就会出现flag，后来才知道需要单个商品加前超过100才行。然后随便抓一个包将价格改为负数即可，这里要注意这个负数要＞100才行。打开网站，是一个商城。

2026-01-16 03:15:00 28

原创交易所钱包划转存在的逻辑漏洞1

随意抓一个【资产划转】的数据包，然后发送到Turbo Intruder，进行并发操作。回到页面就可以得到flag。同时看到资产出现了负数。

2026-01-15 23:08:25 50

原创商城修改金额支付漏洞

直接将所有商品添加到购物车，然后抓包把所有的价格修改为0即可得到flag。

2026-01-15 23:06:16 110

原创【cyberstrikelab】Thunder

这里是看别人的才知道，靶机存在172.20.56.0/24这个网段。自己尝试用nmap全网段扫描（sudo nmap -sn -T4 172.0.0.0/8），但是太费时间了打开发现是thinkphp直接工具一把梭得到flag1上传webshell发现要使用rce_11才可以上传文件但是发现上传平常的php没问题上传webshell，则不行，有文件但是无法访问猜测可能存在安全软件换了另一个工具查看进程，发现存在360用弱鸡webshell生成免杀的webshell用工具上传webshell使用哥斯

2025-07-24 21:40:45 1145 3

原创【cyberstrikelab】lab7

这里我们拿到了192.168.20.40的域控，并且添加了账号那么，我们可以通过psexec横向到192.168.20.20。这里不知道为什么不能使用代理fscan进内网扫描，因此尝试打算直接开启目标主机的远程桌面，然后直接扫。先生成一个木马，上传到192.168.10.10运行，将192.168.10.10上线到msf。对192.168.10.10 单独再次扫描，发现了额外的端口。但是这里访问发现没有发现web服务，疑似端口没有扫描全。上传后尝试运行发现报错，发现DC.exe被杀了。

2025-07-15 01:41:25 950

原创【PolarCTF】Easy_ShellCode

然后第二个read读取0x100个字节到buf中，那么我们可以通过溢出buf覆盖返回地址到bss中，实现ret2shellcode攻击。再通过gdb看下，可以看到bss段还是可执行的，那么更加确定就是ret2shellcode。点开main有2个函数，start()则是我们要分析的。没有看到可以利用的后门，以及相关/bin/sh字符。第一个read读取0x100个字节到str中。拖入发现是32位程序，同时有可执行的段。那么我们编写下payload。这里有2个read。

2025-07-02 01:12:27 321

原创【Cyberstrikelab】lab3

可以看到果然主页上存在一句话（PS：这里必须要用蚁剑来连接，冰蝎和哥斯拉因为是有加密的无法连接这个普通webshll）刚开始扫描到192.168.20.20开放端口不多，这里使用fscan对192.168.20.20进行全端口扫描。根据提示说木马留在主页，打开文件管理系统，查看index.php文件的内容，发现木马。先用msf配置监听，注意这里要使用php的反弹shell payload。在冰蝎的解密填写好kali的主机IP和监听端口，点击连接。查看源代码，发现有出现默认的账号密码。

2025-07-01 22:24:49 1233

原创【Cyberstrikelab】lab2

这样当我们访问这个日志文件的时候，我们之前的webshell代码就会执行，在目录下生成一个shell.php的一句话木马。使用TomcatScanPro对Tomcat进行扫描，发现存在CVE-2017-12615漏洞。查看下TomcatScanPro的配置文件，可知写入的webshell密码为pass。然后再包含下这个日志文件，这里注意你当时的时间，因为日志文件名称是以日期来命名的。发现只有一个网段，故这个主机渗透就到此为止。访问写入的webshell，发现是可以的。对应的目录就会生成当前时间的日志文件。

2025-06-30 20:06:33 798

原创【PolarCTF】jwt

这里伤处了session的值没啥影响，说明主要是JWT的值。2、直接修改jwt内容，若服务器未验证可以直接通过。还看到一个提示，说是flag就是admin的密码。那么根据题意就是伪造jwt来获得admin权限。3、直接修改jwt的加密算法为none。将得到jwt替换发送过去，得到flag。尝试注册admin，说被注册了。返回包的时候可以看到返回JWT。4、查看有没有jwt密钥泄露。1、爆破jwt是否是弱密钥。那就注册一个admin1。那么我们就开着伪造JWT。爆破下，发现果然是弱密钥。

2025-06-30 00:30:55 424

原创【PolarCTF】seek flag

根据提示访问robots.txt，得到flag3。这里我尝试性将id改为1，得到flag1。抓下burp请求包，发现flag2。

2025-06-30 00:30:02 207

原创【PolarCTF】蜜雪冰城吉警店

根据提示说点第9个隐藏奶茶单子就有flag，尝试抓包发现没有拦截到请求包，那么说明就只是再前端进行交互。打开源代码可以看到，id。这里我将id=8改为id=9。然后点击得到flag。

2025-06-30 00:29:28 311

原创【PolarCTF】召唤神龙

这种情况下很可能就是前端里面会藏着什么东西。在查看js源代码的时候看到jsfuck编码。burp抓包也并没有抓到什么实质性东西。有扫描到2个目录，但是没啥重要的东西。复制到随波逐流发现flag。

2025-06-30 00:28:52 327

原创【Bugku】overflow

但是read却读取了0x100（256）字节，明显的栈溢出。用IDA分析，可以看到read（）函数就是问题点。从IDA分析可以看到距离rbp长度是30。可以看到申请了一个48字节长度的遍历s。用file分析是64位的程序。那么打靶场的地址获取flag。检查保护发现都是关闭的。

2025-06-27 22:12:34 298

原创【PolarCTF】小狗汪汪汪

那么我们就需要先填充9个字节的内容把s的内容填占满，然后再额外填充4个字节的内容把ebp占满，然后再将getshell的地址填充到返回地址即可0x804859B。这里我们直接看IDA分析看到是需要9个字节可以填充到ebp，但是有时候IDA里面是分析错误的，所以最好我们手动进行分析。注意这里eax-3，所以要额外多减去3，可以看到算出的也是9，就说明要填充9个字节内容来占满。我们输入的内容是存放到eax中的，这里我们要计算下ebp到eax的。进入到函数之后，也是一直输入n步过，执行到gets（）函数位置。

2025-06-27 19:17:28 956

空空如也

空空如也