[CISCN2019 華北賽區 Day1 Web2]ikun
之前做題寫做題思路過程一般都是做完了再寫,不過這道題腦洞比較大而且涉及到的知識點比較多,所以邊復現邊寫wp。 靶場打開了之后比較有意思 雞你太美 簡單地看一下頁面,是購物商城的網頁 應 ...
原文:[CISCN2019 華北賽區 Day1 Web2]ikun
x :抓包薅羊毛邏輯漏洞 提示我們買lv ,根據源碼我們要找到lv ,寫個v腳本: 找到lv 在 直接跳轉,發現買不起,抓包 修改折扣 購買成功,提示需要admin權限 x JWT偽造 先來了解JWT: JSON Web Token JSON Web Token JWT 是一個開放標准 RFC ,它定義了一種緊湊的 自包含的方式,用於作為JSON對象在各方之間安全地傳輸信息。該信息可以被驗證和信 ...
2020-01-10 22:04 0 360 推薦指數:
相關推薦
BUUCTF | [CISCN2019 華北賽區 Day1 Web2]ikun
步驟: 找到lv6的購買出,修改折扣買lv6 ;然后找到admin的登陸界面,JWT破解,登陸admin ;點擊一鍵成為大會員,利用python反序列化漏洞讀取flag ...
刷題記錄:[CISCN2019 華北賽區 Day1 Web2]ikun
目錄 刷題記錄:[CISCN2019 華北賽區 Day1 Web2]ikun 一、涉及知識點 1、薅羊毛邏輯漏洞 2、jwt-cookies偽造 Python反序列化 二、解題方法 ...
[CISCN2019 華北賽區 Day1 Web1]Dropbox
0x01 前言 通常我們在利用反序列化漏洞的時候,只能將序列化后的字符串傳入unserialize(),隨着代碼安全性越來越高,利用難度也越來越大。但在不久前的Black Hat上,安全研究員Sam ...
刷題記錄:[CISCN2019 華北賽區 Day1 Web1]Dropbox
目錄 刷題記錄:[CISCN2019 華北賽區 Day1 Web1]Dropbox 一、涉及知識點 1、任意文件下載 2、PHAR反序列化RCE 二、解題方法 刷題記 ...
刷題記錄:[CISCN2019 華北賽區 Day1 Web5]CyberPunk
目錄 刷題記錄:[CISCN2019 華北賽區 Day1 Web5]CyberPunk 一、知識點 1、偽協議文件讀取 2、報錯注入 刷題記錄:[CISCN2019 華北賽區 Day1 ...
BUUCTF | [CISCN2019 華北賽區 Day1 Web1]Dropbox
步驟: 1.運行這個: <?php class User { public $db; } class File { public $filename; } class ...
[CISCN2019 華北賽區 Day2 Web1]Hack World
參考鏈接:https://www.jianshu.com/p/b7a03e98357e All You Want Is In Table 'flag' and the column is 'flag ...