赫拉克斯勒斯灯塔

ctf记录

密码学(1) 工具方法(6) 教程(1) 数据结构(2) 机器学习(10)

/ 注册

全部文章 / ctf记录（共19篇）

[GWCTF 2019]我有一个数据库

打开靶机后是一串乱码，（但也不完全是乱码），这里应该是因为没有设置网页的编码格式导致的，找到正确的编码就可以正常显示了。这里解开后是：我有一个数据库你能找到我吗，不是什么有用的信息。没有提示肯定是不可能的，先去逛一逛robots.txt，还是没有就githack，再没有就...

2021-08-13

0 725

BUUCTF-web-2页【1~4】题解

1. [GXYCTF2019]BabyUpload 这道题和前面的一样，后缀检查会把带ph的给截胡，后缀换成jpg 直接用 GIF89a<script language="php">eval($_POST["a"]); &l...

2021-08-11

0 519

BUUCTF-web-【17~32】题解

17.[ACTF2020 新生赛]Upload 这一题和上一篇的极客大挑战的upload差不多，同样的脚本拿去上传也可以上传成功，更人性化的是把目录都给出来了 18.[极客大挑战 2019]BabySQL SQL注入绕过方法汇总，很棒：https://blog.csdn...

2021-07-15

0 612

BUUCTF-web-【01~16】题解

1. [HCTF 2018] WarmUp 查看页面元素，发现source.php 是页面源码，其中发现了hint.php文件，访问有： flag not here, and flag in ffffllllaaaagggg 这里要做的是绕过这些检查，主要...

2021-07-14

1 2149

攻防世界-web进阶-unfinish

无wp寸步难行原链：https://blog.csdn.net/hxhxhxhxx/article/details/107900247 攻防世界web进阶区unfinish详解题目详解题目详...

2021-01-27

0 675

攻防世界-shrine

1. 进入题目查看页面源码，是使用flask模板搭建，第一反应是存在SSTI。 2. 突破口在第二个装饰函数 @app.route('/shrine/<path:shrine>')，测试是否存在SSTI 存在回显并且进行了运算，存在SSTI没错了 ...

2021-01-15

0 384

orz 编码+异或

题目：编码+异或 R0I0RElPSk1HQjRESU1aTUdCNERJWkpNR0I0RElPQk1HQjRES05CTUdCNERPT0JNR0I0RElZSk1HQjRESU1aTUdCNERJWVpNR0I0RElNQk1HQjRESU1STUdCNERJWUpNR0I0RE9N...

2020-12-03

0 450

攻防世界-web进阶-lottery

题目中有用$9990000购买flag的界面，且猜中7个数字得到$5000000，猜想应该是通过改包来使得系统判断中奖，最后购买flag 1-查看robots.txt (万事先看robots) 2- 肯定是git泄漏了，GitHack下来 3-查...

2020-11-18

0 456

[网鼎杯 2018]Fakebook（ssrf漏洞）

转： https://blog.csdn.net/qq_44657899/article/details/104884553?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai...

2020-11-16

0 1683

攻防世界-web进阶-mfw

1-其中Bootstrap是推特的前端开源工具包，看到git先尝试访问.git文件夹 2-git信息泄露，用GitHack爬下来源文件 3-python2 GitHack.py http://220.249.52.133:56698/.git/ 4-查看in...

2020-11-13

0 363