[CISCN2019 华东南赛区]Double Secret
[CISCN2019 华东南赛区]Double Secret 首页面是比较无奈的 我进入了robots.txt发现了毫无作用的信息 有的大佬猜到了目录,我是扫出来的 输入几个参数试试,发现他被加密了,毫无思路自己还跑了1到128的脚本发现没什么规律。 当你输入一堆奇怪的东西 ...
原文:[CISCN2019 华东南赛区]Web11
知识点 SSTI smarty 题目给了提示,BuildWithSmarty 看到有X Forwarded For,抓包添加 发现CurrentIP被修改成我们输入的值 上SSTI图 测试一下是否是smarty 正常返回 ,说明确实是smarty,上smarty常用payload ...
2020-05-16 16:49 0 558 推荐指数:
相关推荐
ciscn2019华东南赛区double_secret题解
进入题目页面只有个Welcome To Find Secret,最后发现了/secret目录。 在/secret目录中得到Tell me your secret.I will encrypt it ...
BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2
BUU XSS COURSE 1 & [CISCN2019 华东北赛区]Web2 XSS的题目没怎么做过,比赛基本上也没有(=_=),总结下今天做的两题 都是看赵总视频现学现做的,这里附上学习链接,大家记得白嫖hhh~ BUU XSS COURSE 1 题解 这题点进去就两个窗口 ...
[CISCN2019 华北赛区 Day1 Web2]ikun
0x01:抓包薅羊毛逻辑漏洞 提示我们买lv6,根据源码我们要找到lv6,写个v脚本: 找到lv6在180 直接跳转,发现买不起,抓包 修改折扣 购买成功,提示需要admin权限 0x02 JWT伪造 先来了解JWT: ** JSON Web Token** JSON Web ...
[CISCN2019 华北赛区 Day1 Web1]Dropbox
0x01 前言 通常我们在利用反序列化漏洞的时候,只能将序列化后的字符串传入unserialize(),随着代码安全性越来越高,利用难度也越来越大。但在不久前的Black Hat上,安全研究员Sam ...
[CISCN2019 华北赛区 Day1 Web2]ikun
之前做题写做题思路过程一般都是做完了再写,不过这道题脑洞比较大而且涉及到的知识点比较多,所以边复现边写wp。 靶场打开了之后比较有意思 鸡你太美 简单地看一下页面,是购物商城的网页 应 ...
刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox
目录 刷题记录:[CISCN2019 华北赛区 Day1 Web1]Dropbox 一、涉及知识点 1、任意文件下载 2、PHAR反序列化RCE 二、解题方法 刷题记 ...
BUUCTF | [CISCN2019 华北赛区 Day1 Web2]ikun
步骤: 找到lv6的购买出,修改折扣买lv6 ;然后找到admin的登陆界面,JWT破解,登陆admin ;点击一键成为大会员,利用python反序列化漏洞读取flag ...