代码编织梦想

2022年江西省赣育杯网络安全大赛学生组web&misc writeup_末初mochu7的博客-爱代码爱编程

文章目录 WEB签到easyzphpezpopezpy MISCbyteMuisc有趣的PDF 题目链接:https://pan.baidu.com/s/1sCv3forZGOV5Wvsspya7H

buuctf:[bjdctf2020]easysearch_末初mochu7的博客-爱代码爱编程

index.php.swp发现源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghij

buuctf:[suctf 2019]pythonginx_末初mochu7的博客-爱代码爱编程

@app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = pars

buuctf: [swpu2019]web1_末初mochu7的博客-爱代码爱编程

https://buuoj.cn/challenges#[SWPU2019]Web1 登录注册、在测试的时候发现发布中的广告名如果输入一些敏感关键字,例如and、or。会有警告 猜测广告名存在注入,尝试在广告名处输

[nssctf 2022 spring recruit]babysql_末初mochu7的博客-爱代码爱编程

https://www.ctfer.vip/problem/2075 根据输入框的提示传入tarnish返回如下 简单测试下发现黑名单:hacker!!black_list is /if|and|\s|#|--/i

buuctf:[wustctf2020]朴实无华_末 初的博客-爱代码爱编程

题目地址:https://buuoj.cn/challenges#[WUSTCTF2020]%E6%9C%B4%E5%AE%9E%E6%97%A0%E5%8D%8E 首先在robots.txt下发现/fAke_f1agggg.php 访问有一个假的flag,但是在响应头中找到一个提示,另外还有一个值得注意的是这里是PHP/5.5.38 访问fl4g

PHP反序列化构造POP链小练习-爱代码爱编程

一个师傅给的源码,来源不知,就当作小练习记录一下 <?php error_reporting(0); class Vox{ protected $headset; public $sound; public function fun($pulse){ include($pulse); }

2022 RealWorld CTF体验赛Writeup-爱代码爱编程

文章目录 Digital Souvenirlog4flagBe-a-Database-Hackerthe Secrets of Memorybaby flaglabFlag ConsoleBe-a-Database-Hacker 2Java Remote Debugger Digital Souvenir rwctf{RealWorldI

HGAME 2022 Writeup-爱代码爱编程

文章目录 Level - Week1WEBeasy_auth蛛蛛...嘿嘿♥我的蛛蛛Tetris plusFujiwara Tofu ShopMISC欢迎欢迎!热烈欢迎!这个压缩包有点麻烦好康的流量群青(其实是幽灵东京)CRYPTODancing LineMatryoshkaEnglish NovelLevel - Week2WEBApache!w

长安“战疫”网络安全卫士守护赛Writeup-爱代码爱编程

文章目录 MISC名称放了不给审核通过(见下图)朴实无华的取证无字天书名称放了不给审核通过(见下图)ez_EncryptEz_StegbinarypipiccWEBShiro?RCE_No_ParaFlag配送中心REVERSEcombat_slogancute_dogeCRYPTOno_cry_no_can misc题目附件请自取: 链接:h

2021年“绿盟杯”重庆市大学生信息安全竞赛线上赛-Writeup-爱代码爱编程

文章目录 Webflag在哪里寻宝奇兵midserializeMisc签到1DECODERhuahuaNOISEDdDdDdForensic隐藏的数据something in picture Web flag在哪里 <?php error_reporting(0); class begin{ public $file

记一次MySQL注入绕过-爱代码爱编程

来源于今天一位朋友叫我帮忙看的题目 查看源码发现提示 存在过滤且,limit参数只能为单个数字 fuzz一下sql注入关键字看看都过滤了哪些字符 直接在class参数插入exp(100)回显正常,插入exp(1000)发现返回database error;说明此处sql注入可直接插入执行,其次如果sql语句执行错误会返回报错提示; 那么就可

第四届江西省高校网络安全技能大赛初赛Web&Misc—Writeup-爱代码爱编程

文章目录 WebEasyPHPfunny_gameadminloginSellSystemMisc奇奇怪怪的编码Extractalleasy_usbstrangethread MISC题目附件请自取 链接:https://pan.baidu.com/s/1TM9bIqDbSjjyKj-YsjfUlA 提取码:059o Web EasyP

第三届第五空间网络安全大赛-选拔赛-部分Writeup-爱代码爱编程

文章目录 MISC签到WEBWebFTPPNG图片转换器pklovecloudEasyCleanupyet_another_mysql_injection MISC 签到 flag{welcometo5space} WEB WebFTP 目录扫描发现git泄露 使用GitHack尝试还原代码 发现无法还原源代码,但是发现了

BUUCTF:[ASIS 2019]Unicorn shop-爱代码爱编程

https://buuoj.cn/challenges#[ASIS%202019]Unicorn%20shop 功能是一个购物商店,输入商品ID和价钱进行点击购买。 源代码中提醒<meta charset="utf-8">很重要 html使用的是UTF-8编码 id和price都为空点击购买,返回报错及原因 从中可以发现源代码是如何处理

第五届“强网杯”全国网络安全挑战赛-线上赛Writeup-爱代码爱编程

文章目录 WEB[强网先锋]赌徒[强网先锋]寻宝MISC签到BlueTeamingISO1995CipherManEzTime问卷题 WEB [强网先锋]赌徒 目录扫描发现www.zip 下载得到源码index.php <meta charset="utf-8"> <?php //hint is in hint.php

第五届蓝帽杯半决赛部分WP-爱代码爱编程

文章目录 RE:ser_leakWEB:杰克与肉丝PWN:cover RE:ser_leak 题目是原题: x1-x5: def func2(x): if x == 0: return 0 return (x % 2) + func2(x // 2) def func3(x): return x % 2 def func1(N

第十四届全国大学生信息安全竞赛-线上赛Writeup-爱代码爱编程

文章目录 场景实操开场卷WEBeasy_sqleasy_sourceMISCtiny trafficrunning_pixel场景实操二阶卷WEBmiddle_sourceMISC隔空传话场景实操冲刺卷MISCrobot 场景实操开场卷 WEB easy_sql 有sql报错 简单fuzz了一下发现过滤了union、informatio

2021第四届红帽杯网络安全大赛-线上赛Writeup-爱代码爱编程

文章目录 MISC签到colorful codeWEBfind_itframeworkWebsiteMangerezlight 记录一下被锤爆的一天…orz MISC 签到 签到抢了个二血2333,第一次拿二血呜呜呜,虽然是签到,还是很激动。 附件名称叫EBCDIC.zip 010Editor直接选择EBCDIC编码 flag{w

BMZCTF:file-vault-爱代码爱编程

http://www.bmzclub.cn/challenges#file-vault 这是一道很好反序列化字符串溢出的题目,首先打开容器看到这是一个上传点 先进行目录扫描,发现存在vim的备份文件index.php~ 查看index.php~得到源码如下 <?php error_reporting(0); include('secret.