所有文章

AliyunCTF2025-Web-打卡OK

0 条评论 AliyunCTF ctf web wp writeup Polze Li
打卡ok 题目描述:没写好的系统怎么会打卡ok呢~ 进入靶机,提示登录。进入登陆界面 dirsearch扫描发现/index.php~可以查看源码 打开index.php~,然后下翻发现 这里background逻辑会到cachefile然后访问一个ok.php~,我们尝试访问 发现adminer,我们进入 尝试弱口令root/root 成功登陆,查看是m...

NPC^2 CTF Week1-WriteUp

2 条评论 NPC^2 CTF ctf web wp writeup misc Polze Li
前言 Web、Misc一周目基本是开胃菜,被大家薄纱了,情况如下 呜呜呜呜呜呜呜,希望Week2能挽救一会 Web play a game 额是一个js的签到题,2048小游戏) F12审查发现此处有端倪 进入/check.php?score=1 大胆猜测应该是要爆破score PS:最后发现 MTE0NTE0的base64解码是114514 进入burp,...

Part1-Python-Flask模板SSTI注入(Jinjia2引擎)

0 条评论 CTF日记 ctf web dairy ssti python Polze Li
前言 SSTI(Server-Side Template Injection)是服务器端模板注入,和其他如SQL注入、XSS注入等类似,是由于代码不严谨或不规范且信任了用户的输入而导致的。用户的输入在正常情况下应该作为普通的变量在模板中渲染,但SSTI在模板进行渲染时实现了语句的拼接,模板渲染得到的页面实际上包含了注入语句产生的结果。 本篇只讲Python3...

Javascript-Express框架-EJS模板,在CTF中的应用

1 条评论 CTF日记 ctf web express javascript Polze Li
Express的基本使用 使用Express框架可以简化HTTP请求的处理。例如,创建一个基本的Web服务器只需要几行代码: const express = require( express ); const app = express(); app.get( / , (req, res) = { res.send( Hello World ); }); ...

DASCTF&0psu3 2024最后一战|寒夜破晓,冬至终章-Writeup

0 条评论 DASCTF ctf web wp writeup Polze Li
队伍名称 你说,我真的能见到我心中的那个她吗 排名 59 解题思路 WEB const_python 题目简介:自认为搭建了一个完美的web应用,不会有问题,很自信地在src存放了源码,应该不会有人能拿到/flag的内容。 这玩意怎么说,exec和eval都ban了,本来想打新版内存马(,然后dnslog和nc一直不出来,急死我了,最后bash出来了( 提示...

CTF-Web中对于RCE常用姿势总结

0 条评论 CTF日记 ctf web rce Polze Li
PHP的RCE中一些小技巧 空格过滤绕过 1、大括号{}: {cat,flag.php} 2、$IFS代替空格: $IFS$9,${IFS},$IFS这三个都行 Linux下有一个特殊的环境变量叫做IFS,叫做内部字段分隔符 (internal field separator)。 ?cmd=ls$IFS-I 单纯$IFS2,IFS2被bash解释器当做变量名...

CTFShow刷题日记#Web#1.20-1.26

0 条评论 CTF日记 ctf web dairy Polze Li
作为小白,ctfshow对我来说意义很大,web题型很多,在本周刷的内容里面,RCE漏洞花样百出,让我看不到尽头(((。简直了,花样太多了,还得多刷多学,每次比赛做题都是现学现做doge 本周刷题内容 信息收集web1-web17 爆破web21-web24 命令执行web29-39 博客只分享部分我没见过我认为有价值的题目可以学习的部分题目解题日记 信息...

2025西湖论剑初赛Web有感

0 条评论 未分类 ctf web Polze Li
emmm,作为萌新(混子)接触了今年西湖初赛,看了去年和前年的题目,今年Web题目没有以往那么难,但还是很恶心的,比如说那个RANK-U。我所在的团队0psu3取得了第七名(我就混了个签到题((( )大比赛竞争还是比较激烈的 RANK-I 这道题目是考察SSTI的,我用dirsearch扫出了/console,我判断就是python写的flask框架,然后...

PHP反序列化的一些招式总结

1 条评论 CTF日记 php ctf web Polze Li
最近刷题我个人遇见的一些php反序列化的题型,都很有意思,也值得加深学习,可能说明的不详细不充分不清晰,有些点没点到,还请各位大佬多多指点qwq

WuCup吾杯CTF比赛-WriteUp

0 条评论 WuCup ctf web wp writeup misc Polze Li
WuCup吾杯是第一届(以为新生赛呢,差点爆零qwq。能力还有待提升,好多老师傅(