刷题笔记:[BSidesCF 2019]Sequel 刷题笔记:[BSidesCF 2019]Sequel
前言 感觉像是sql注入 题解似乎有检测,先fuzz一下。 被屏蔽的有点多,看样子并非是黑名单,而是白名单模式。 先扫个目录看看有没有源码泄漏。 试了半天不行,看了下wp才知道原来注入点不在这,先爆破用户密码为guest,整了半天赛道都没
2021-10-16 Web
CTF Web
刷题笔记:[2021祥云杯]Package Manager 2021 刷题笔记:[2021祥云杯]Package Manager 2021
前言关键字:[mongdb注入] 给了源码,是typescript,这倒是第一次见 题解感觉像是XSS。 没想到是SQL注入…… 数据库是mongodb 在index.ts中有字符串拼接,意味着可能存在sql注入 而正则检测没有加^$
2021-10-16 Web
CTF Web mongdb SQL注入
刷题笔记:[HCTF 2018]Hideandseek 刷题笔记:[HCTF 2018]Hideandseek
前言关键字:[MAC|uuid.getnode|网卡] 题解 有session,解一下 随便上传了个zip,然后会解压显示,那很明显,用软连接 先试试/etc/passwd rm -f test &&
2021-10-14 Web
CTF Web flask
刷题笔记:[BSidesCF 2020]Cards 刷题笔记:[BSidesCF 2020]Cards
前言 题解原来是打牌游戏。 看下cookie,是空的。 抓个包吧。 还有js代码能看,但不知道怎样才能拿到flag。 啊 这个能看到规则 大概就是赢到100000然后拿flag吧 还以为是真的要想办法改点什么东西,没想到真的要通过打
2021-10-14 Web
CTF Web
刷题笔记:[HFCTF 2021 Final]easyflask 刷题笔记:[HFCTF 2021 Final]easyflask
前言关键字:[pickle|__reduce__] /file?file=index.js 题解 /file?file=/app/source #!/usr/bin/pytho
2021-10-11 Web
CTF Web Flask
校内充电桩 - 项目开发日志 校内充电桩 - 项目开发日志
前言开发三四天了,今天才想着写个开发日志,主要是感觉开发效率越来越低下了,明明一天除了吃饭睡觉都坐在电脑前,但一天都写不出几行代码,挺烦的。原本昨晚就想好要写了,得,今天又蹉跎了一天,现在才想起来写。 日志2021年10月2日前端开库。 写
2021-10-05 开发
Django 微信小程序 后端
Django学习笔记 Django学习笔记
Models新增/更改Models表后需要生成建库脚本 #生成脚本 python manage.py makemigrations index #写入库 python manage.py migrate 管理员python ma
2021-10-04 开发
Python Django
刷题笔记:[MRCTF2020]Ezpop_Revenge 刷题笔记:[MRCTF2020]Ezpop_Revenge
前言关键字:[反序列化|typecho|soap] 题解扫目录扫出www.zip 第一步是找输入点,在usr/plugins/HelloWorld/Plugin.php中找到个action() 这里的a
2021-09-27 Web
CTF Web PHP代码审计 SSRF
刷题笔记:Wallbreaker_Easy 刷题笔记:Wallbreaker_Easy
前言关键字:[disable_function|Imagick] 题解提示可以说是十分明显了,利用imagick去disable_function bypass 见disable_functions bypass 用imagick函数,
2021-09-27 Web
CTF Web disable_function
4 / 19