PASECA2019_Web_honey_shop

最新推荐文章于 2024-06-13 23:47:14 发布
最新推荐文章于 2024-06-13 23:47:14 发布
阅读量192 收藏
点赞数
分类专栏: BUUCTF 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126613704
版权

考点:

  • LFI
  • Flask Cookie伪造

进入页面应该是买flag 没跑了。

点了 图片 会把图片进行下载,一般都有任意文件读取。

/etc/passwd 

什么都没有

看看环境变量

看到是python 的环境变量 并且发现

 SECRET_KEY=QnTu7Hzcd3yFZkbrJ5Z3Jqv7ARvs1lx1OIM9c6en

结合抓到的包看到了session  flask 框架,应该是破解 session 了

kali下载   flask-session-cookie-manager

git clone https://github.com/noraj/flask-session-cookie-manager.git && cd flask-session-cookie-manager

 

下载后 , 用上 key + seession 解密看看是 什么

就是我们的金币, 那么我们修改成 1337:

然后

抓包点击购买flag:

 

 

 

 

snowlyzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 每次启动镜像时都会随机生成Flask Cookie的SECRET_KEY。 版权 该题目复现环境尚未取得主办方及出题人相关授权,如果侵权,请联系本人删除()
Honeywell_FSC培训
03-18
介绍了关于Honeywell_FSC培训的详细说明,提供FSC系统的技术资料的下载。
BUUCTF [PASECA2019] honey_shop
Senimo
12-21 1475
BUUCTF [PASECA2019] honey_shop 考点: Flask中的Session伪造 /environ记录当前进程的环境变量信息 /proc/self其路径指向当前进程 启动环境: 是一个蜂蜜商店的界面,有1366美金,想要购买flag需要1337美金: 直接购买提示金额不足: 猜测可能是传参时存在金额参数或者cookie中,使用BurpSuite抓取数据包: 其中item应该为商品序号,获取到其中的session: session=eyJiYWxhbmNlIjoxMzM2LC
BUUCTF_练[PASECA2019]honey_shop
m0_66225311的博客
10-29 451
页面信息收集,根据下载的图片找到下载链接,确定`url`的参数进行利用;`session`字段的解密和解密,session伪造的考点。
BUUCTF--[PASECA2019]honey_shop
qq_46263951的博客
08-14 558
与大多数题相似,这里给出的金额无法是我们购买到flag 这类一般都与session有关,这里的session看着很眼熟,使用jwt解密 balance对应着我们的余额,很明显这里是伪造session,修改余额,所以需要SECRET_KEY的值 根据提示*click to download our sweet images*,我们下载第一张图片 修改其image的值为: /download?image=../../../../../../../etc/passwd 尝试访问Pytho...
BUUCTF [PASECA2019]honey_shop
CyhDl666的博客
03-16 372
文件读取和session伪造 发现购买flag的钱差1元 其实大概就是这样,我们距离我们最想得到的就差那么一丢丢,买不了flag我们可以买蜂蜜嘛… 进入正题 题目有个提示click to download our sweet images 大概题目的切入点就是这个 下载的时候抓个包 发现/download?image=2.jpg,发现download目录,我们就可以尝试一下能不能去获取其他有用的信息 可以读取到其他有用的信息 昨天做题的时候做到了Linux下的一个文件 复习一下 Linux下.
[PASECA2019]honey_shop
qq_63928796的博客
06-20 1126
打开题目是一个很好的购买页面下面可以发现我们需要的flag但是钱不够,所以我们要想办法修改金币,之后观察点击中间的图片可以下载先拦截一下发现image可以试试用这个方法去访问一下目录确实可以穿越目录下载passwd,但只得到一些没有的配置信息我们的目的是修改金钱,金钱的信息就存在session里所以想办法修改session就需要找SECRET_KEY去python的环境变量找一下发现SECRET_KEY就可以修改session python3 flask_session_cookie_manager3.py
刷题(第二周)
qq_62046696的博客
03-06 520
感悟:代码审计的题的确非常需要耐心一个个看,所以做题应该静下心来,思路:找出可以利用的方法比如,include/file_get_contents等,然后找出__destruct起点一步步观察。这里的this->pool是我们可以控制的,所以找出一个恶意类中的 saveDeferred方法即可,最终找到了PhpArrayAdapter.php中的方法,这里虽然报错了,但还是返回了1/0我们输入的值,因为flask框架是基于python语言的,所以师傅们用的方法是#注释掉后面的,
Honeywell_EPKS400
03-18
介绍了关于Honeywell_EPKS400的详细说明,提供Experion PKS的技术资料的下载。
PDS_DeltaVConnect_Honeywell
03-18
介绍了关于PDS_DeltaVConnect_Honeywell的详细说明,提供DeltaV的技术资料的下载。
Honeywell-BNA-Setup.rar_honeywell_honeywell BNA
09-24
Honeywell的BNA设置步骤,包括配置IIS,下载配置文件
[Vue-常见错误]浏览器显示Uncaught runtime errors
一个喜欢什么都研究一下的小小后端程序员
06-09 314
在vue.config.js中配置关闭Uncaught runtime errors显示。
Web前端网站设计案例:深入剖析创意与技术的完美融合
liyrbtqe_66w的博客
06-12 215
在性能优化方面,设计师通过压缩代码、减少HTTP请求、使用CDN等技术手段,提升了网站的加载速度和响应性能,为用户提供了更加流畅的访问体验。综上所述,本Web前端网站设计案例通过视觉设计、用户体验、技术实现、性能优化、创意表达、响应式设计和跨平台兼容等方面的综合考量,成功打造了一款既美观又实用的网站。这个案例充分展示了Web前端设计的魅力和潜力,为未来的网站设计提供了有益的借鉴和启示。设计师通过独特的视觉元素和创意构思,将品牌理念和文化内涵融入其中,使得整个网站在传达信息的同时,也展现出品牌的独特魅力。
vue3如何定义一个组件
Java程序员专栏
06-09 506
注意在子组件的 <template> 中,你使用 {{ propName }} 来显示传递进来的参数值。在父组件中,你使用 :propName="parentMessage" 来将 parentMessage 数据的值绑定到子组件的 propName prop 上。当使用 <script setup> 语法糖时,你不能直接在 <script> 标签内使用 props 选项。在 Vue 3 中,定义一个可以接收参数的组件通常是通过在组件的 props 选项中定义这些参数来完成的。// 其他组件逻辑...
Harmony 开发的艺术 面向对象
不懂先生的博客
06-13 771
然后你可以创建多个子类,如“圆形”、“矩形”和“三角形”,它们都继承自“形状”类并实现了自己的“绘制”方法。尽管每个对象的类型可能不同(圆形、矩形、三角形等),但由于它们都继承了“形状”类并实现了相同的“绘制”方法,因此你可以通过父类引用来统一调用它们的方法。然后你可以创建一个“狗”类,它继承自“动物”类,并添加或覆盖一些特定的属性和方法(如“叫”和“摇尾巴”)。所以面向对象的三大特征(封装、继承、多态)在java语言中很容易实现的设计,搬到早期的JavaScript中,就变噩梦一样的存在。
Web前端设计大赛:创意与技术的碰撞
huejiaqwerty888的博客
06-12 224
在这场竞赛中,参赛者们不仅需要展现出独特的创意,还需要运用精湛的技术将创意转化为实际作品。本文将从四个方面、五个方面、六个方面和七个方面,深入剖析Web前端设计大赛的魅力和挑战。交互设计是Web前端设计的核心环节。参赛者需要关注页面的加载速度、响应速度以及操作的便捷性等方面,确保用户在使用过程中能够获得良好的体验。参赛者需要敢于突破传统的设计理念和技术限制,尝试新的设计手法和技术应用。参赛者需要在创意构思、视觉呈现、交互设计、用户体验、技术实现、性能优化以及创新性和可实践性等方面进行全面考虑和精心打造。
Web前端工程师的前景:挑战与机遇并存
asdgftv_niiy的博客
06-09 358
随着互联网的飞速发展和数字化转型的深入推进,Web前端工程师的前景日益广阔且充满挑战。作为互联网技术的核心力量之一,前端工程师的角色越来越重要,但同时也面临着技术更新迅速、市场需求多变等挑战。本文将从四个方面、五个方面、六个方面和七个方面深入剖析Web前端工程师的前景,为读者揭示这一职业领域的机遇与挑战。随着技术的不断进步和应用场景的不断拓展,前端工程师的工作也开始与其他领域进行跨界融合。只有不断提升自己的技术水平和创新能力,才能在激烈的市场竞争中脱颖而出,实现个人价值和社会价值的双赢。
Vue3-滑动到最右验证功能
最新发布
地理信息的专栏
06-13 214
在登陆页面,需要滑块,且滑块向右移动到最右边,完成验证
honeywell_printersdk
07-14
### 回答1: Honeywell Printer SDK是霍尼韦尔公司推出的打印机软件开发工具包。该工具包可以用于开发和定制霍尼韦尔打印机的应用程序,使开发人员能够更加灵活地控制打印机的功能。 Honeywell Printer SDK提供了丰富的API和示例代码,开发人员可以利用这些工具来实现打印机的自定义设置,包括纸张大小、打印方向、字体样式和大小等。此外,该工具包还支持各种连接方式,包括USB、蓝牙和Wi-Fi等。 使用Honeywell Printer SDK,开发人员可以轻松地打印文本、条码和图像等内容,并控制打印机的输出质量和速度。此外,该工具包还提供了错误处理和打印状态查询等功能,方便开发人员对打印过程进行监控和管理。 Honeywell Printer SDK的使用非常灵活,支持多种开发环境,包括Android、iOS和Windows等。开发人员可以根据自己的需求选择合适的开发语言和平台进行应用程序的开发。 总之,Honeywell Printer SDK是一款功能强大的打印机软件开发工具包,可以帮助开发人员更加方便地开发和定制霍尼韦尔打印机的应用程序。无论是需要定制打印机设置,还是控制打印过程,该工具包都能提供相应的功能和支持。 ### 回答2: Honeywell Printer SDK(软件开发工具包)是霍尼韦尔公司提供的一个用于开发打印机应用程序的工具。该SDK可以帮助开发人员轻松地实现与霍尼韦尔打印机的通信和交互。 Honeywell Printer SDK提供了一组API和文档,其中包括了各种打印功能的调用方法和示例代码。通过使用这些API,开发人员可以在他们的应用程序中实现打印任务,如打印标签、收据、条形码等等。此外,该SDK还提供了与打印机的连接管理功能,如搜索和配对蓝牙打印机、设置打印机参数等。 使用Honeywell Printer SDK可以大大简化打印机应用程序的开发过程。开发人员可以利用SDK提供的各种功能,快速构建自己的打印应用程序,并与Honeywell打印机进行良好的交互。该SDK还提供了一些可自定义的选项,使开发人员可以根据自己的需求进行调整和修改。 总之,Honeywell Printer SDK是一个功能强大的开发工具,可帮助开发人员轻松地实现与Honeywell打印机的通信和交互。使用该SDK,开发人员可以快速构建自己的打印应用程序,并实现各种打印任务。 ### 回答3: Honeywell Printer SDK是由霍尼韦尔公司开发的一款打印机软件开发工具包。这个SDK可以帮助开发者快速集成和构建应用程序,从而实现打印机设备的功能。 Honeywell Printer SDK提供了丰富的开发工具和资源,包括API文档、示例代码和开发指南等,开发者可以基于这些工具进行二次开发。通过使用SDK,开发者可以轻松地实现与打印机的连接和通信,以及打印任务的管理和控制。 Honeywell Printer SDK支持多种打印机模型和连接方式,例如蓝牙、Wi-Fi和USB等。开发者可以选择适合自己需求的打印机,并根据实际情况进行配置和调整。无论是在零售、物流、制造还是医疗等行业,Honeywell Printer SDK都能提供可靠的打印解决方案,帮助企业提高工作效率和客户服务质量。 除了基本的打印功能外,Honeywell Printer SDK还支持高级功能,如条码打印、图像打印和标签设计等。开发者可以根据自己的需求选择合适的功能,并进行定制化开发。而且,Honeywell Printer SDK还提供了灵活的界面和样式设置,可以使打印输出更加符合企业的需求和形象。 总之,Honeywell Printer SDK是一款强大而易用的打印机软件开发工具包,它能够帮助开发者快速实现打印功能,并提供了丰富的功能和扩展性,满足不同行业和应用场景的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值