初探题目 <! more 两个表单,我们用burp抓包试试 这时候我们发现Cookie值里有个很奇怪的值是source,这个单词有起源的意思,我们就可以猜测这个是判断权限的依据,让我们来修改其值为1,发送得到如下显示: 代码审计 发现爆出了源代码,让我们来审计一下 我们如果需要获得flag,需要满足 ...
分类:
其他好文 时间:
2019-03-24 09:51:18
阅读次数:
107
刚接触微信小程序,来记录一些遇到的问题 还有异步的问题 如果不是很复杂的可以在success里面放另一个调用 复杂的话可以加字段保存状态 用户上传图片通常大小是不可控的,那就要用object-fit:cover来控制img达到保持比例缩放 但是微信小程序的image不支持 要用mode='aspec ...
分类:
微信 时间:
2019-03-15 18:57:19
阅读次数:
225
经历了学校的校赛,一度自闭,被大佬们刺激的要奋发图强。 1、后台登录 链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 打开题目首先查看源码,源码中注释部分有提示。 这个题目时通过mysqli_num_rows 来判断sql查询是否有结果。 ...
分类:
Web程序 时间:
2019-03-11 13:23:27
阅读次数:
280
一开始我使用了rarfile这个库,奈何对于含有密码的压缩包支持不好,在linux上不抛出异常;之后有又尝试了unrar。。比rarfile还费劲。。 所以用了调用系统命令的方法,用7z来解压 通过apt可以安装上7z-full和7z的rar插件 有一个地方要注意 -o 和-p与后面的目录、密码之间 ...
分类:
编程语言 时间:
2019-03-08 22:12:53
阅读次数:
233
隐写术是一门关于信息隐藏的技巧与科学,所谓信息隐藏指的是不让除预期的接收者之外的任何人知晓信息的传递事件或者信息的内容。隐写术的英文叫做Steganography,来源于特里特米乌斯的一本讲述密码学与隐写术的著作Steganographia,该书书名源于希腊语,意为“隐秘书写”。 ...
分类:
其他好文 时间:
2019-02-28 00:54:48
阅读次数:
1031
请复制代码后操作,谢谢,此处推荐刘铁锰老师的视频 https://www.bilibili.com/video/av7606481/?p=23 希望能和大家一起进步 ...
分类:
编程语言 时间:
2019-02-22 21:44:28
阅读次数:
188
JSPFUCK??????答案格式CTF{**} http://123.206.87.240:8002/web5/ 字母大写 jspfuck这不是骂人吗,怎么回事啊? ·点进去看见有一个可以输入的框,那就随便输入试一试哇 (在还是错别字 那看一看源代码叭,有一行非常奇怪的由+[]()!组成的代码,查 ...
分类:
Web程序 时间:
2019-02-20 13:29:10
阅读次数:
324
Web题目系列4 上传绕过 题目链接 http://shiyanbar.com/ctf/1781 题目描述 bypass the upload 格式:flag{} 解题思路 随意上传文件,发现提示只能上传图片文件,上传图片后,看到发送包的内容为 推测最后保存文件的名称为dir + filename, ...
分类:
Web程序 时间:
2019-02-18 01:22:22
阅读次数:
202
Web题目系列3 让我进去 题目链接 http://shiyanbar.com/ctf/1848 题目描述 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题思路 用burpsuite抓包后,发现cookie里有一个字段source=0,修改为1后获取源码 ...
分类:
Web程序 时间:
2019-02-18 01:06:59
阅读次数:
279
Web题目系列2 登陆一下好吗?? 题目链接 http://shiyanbar.com/ctf/1942 题目描述 不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈! flag格式:ctf{xxxx} 解题思路 一个万能密码问题,多试试就可以了。 username: ''=' password: ...
分类:
Web程序 时间:
2019-02-18 01:05:29
阅读次数:
229
