2025年02月的文章

NPC^2 CTF Week1-WriteUp

2 条评论 NPC^2 CTF ctf web wp writeup misc Polze Li
前言 Web、Misc一周目基本是开胃菜,被大家薄纱了,情况如下 呜呜呜呜呜呜呜,希望Week2能挽救一会 Web play a game 额是一个js的签到题,2048小游戏) F12审查发现此处有端倪 进入/check.php?score=1 大胆猜测应该是要爆破score PS:最后发现 MTE0NTE0的base64解码是114514 进入burp,...

Part1-Python-Flask模板SSTI注入(Jinjia2引擎)

0 条评论 CTF日记 ctf web dairy ssti python Polze Li
前言 SSTI(Server-Side Template Injection)是服务器端模板注入,和其他如SQL注入、XSS注入等类似,是由于代码不严谨或不规范且信任了用户的输入而导致的。用户的输入在正常情况下应该作为普通的变量在模板中渲染,但SSTI在模板进行渲染时实现了语句的拼接,模板渲染得到的页面实际上包含了注入语句产生的结果。 本篇只讲Python3...

Javascript-Express框架-EJS模板,在CTF中的应用

1 条评论 CTF日记 ctf web express javascript Polze Li
Express的基本使用 使用Express框架可以简化HTTP请求的处理。例如,创建一个基本的Web服务器只需要几行代码: const express = require( express ); const app = express(); app.get( / , (req, res) = { res.send( Hello World ); }); ...