CTF刷题writeup
文章平均质量分 73
分享日常刷CTF题目的writeup
梦 & 醒
一名ctfer,分享自己的成长
展开
-
【CTF刷题8】2024.9.26
ps:源自CTFhub。原创 2024-09-26 22:30:57 · 565 阅读 · 0 评论 -
【CTF刷题7】2024.9.21
ps:来源:NSSCTF平台。原创 2024-09-22 08:00:00 · 473 阅读 · 0 评论 -
【CTF刷题6】[NISACTF 2022]流量包里有个熊
SS Q8,联想到jpg文件的FF D8,S->F,刚好移了13位,用凯撒可以,也可以用rot13密码。得到一张jpg图片。这一串字符串刚开始看蒙了,然后看了一下别人的wp,才知道可能是16进制的位移文件。文件有两个flag文件,先看第一个,是个base64编码,解码发现不是flag。下载附件,是个没有后缀名的文件,放进010查看,是一个流量包。放进wireshark里,查看tcp流,发现有图片。根据标签提示,盲水印,直接放进工具查看,得到flag。考点:图片隐写,rot13密码,文件分离,流量包审计。原创 2024-09-21 10:04:13 · 273 阅读 · 0 评论 -
【CTF刷题5】刷题记录(9.11)
而渲染函数在渲染的时候,往往对用户输入的变量不做渲染,即:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。SSTI漏洞原理 服务端接收攻击者的恶意输入以后,未经任何处理就将其作为 Web应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了攻击者插入的可以破坏模板的语句,从而达到攻击者的目的。正因为{{}}包裹的东西会被解析,因此我们就可以实现类似于SQL注入的漏洞。:返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。原创 2024-09-12 08:00:00 · 944 阅读 · 0 评论 -
【CTF刷题4】ctfshow刷题web部分wp(3)
题目来源:ctfshow菜狗杯。原创 2024-08-18 08:00:00 · 378 阅读 · 0 评论 -
【CTF刷题3】ctfshow刷题web部分wp(2)
题目来源:ctfshow菜狗杯。原创 2024-08-17 08:15:00 · 463 阅读 · 0 评论 -
【CTF刷题2】ctfshow刷题web部分wp(1)
题目来源:ctfshow菜狗杯。原创 2024-08-17 08:00:00 · 1215 阅读 · 0 评论 -
【CTF刷题1】ctfshow菜狗杯Misc部分writeup
题目来源:ctf秀菜狗杯。原创 2024-08-16 11:30:21 · 569 阅读 · 0 评论