-
web_test
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 7月前
-
SS Xperience
constants.pyFLAG=os.getenv('FLAG',r'grey{fake_flag}')COOKIE={"flag":FLAG}flag在cookie里边,想到cookie外带。adminbot中fromconstantsimportCOOKIE driver.get(f'{baseUrl}/')cookie={"name":"flag","value":C...
- WEB
- 7月前
-
miniLCTF签到题
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 8月前
-
charlottesweb Write Up
1、打开靶机,如下图所示然后点击,出现如下图的提示然后查看源代码看到很显眼的<!--/src-->告诉我们应该去访问一下这个,在url后面添加/src,结果如图所示看最后三段,告诉我们要用PUT的方法去发送/super-secret-route-nobody-will-guess这个请求,我们用kali进行实现使用curl工具向服务器地址发送一个方法为PUT的一个请求,即如上图所示,进...
- WEB
- 9月前
-
nextGen 1 Write Up
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 9月前
-
my-first-sqli writeup
1、打开靶机,出现用户名以及密码登录界面;2、使用弱口令进行登录,即username=admin,password=123456,没啥变化;3、看到题目中有SQL语句,说明这道题应该是一个SQL注入的题目;4、判断注入类型是数字型注入还是字符型注入,数字型注入可以用经典的and1=1and1=2来判断,字符型注入可以用经典的and‘1’='1和and‘1’='2来进行判断,发现无法知道是哪个注入;...
- WEB
- 9月前
-
moectf Object
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 9月前
-
baby lfi-1
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 10月前
-
unserialize
1.构造脚本<?phpclassentrance{public$start;}classspringboard{public$middle;}classevil{public$end='system("cat/flag");';}$evil=newevil;$springboard=newspringboard;$springboard->middle=$evil;$entrance=...
- WEB
- 10月前
-
errorShell
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 10月前
-
flask真香
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
3 金币
- WEB
- 10月前
-
Password Extraction
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
2 金币
- WEB
- 10月前
-
Admin Journal
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
2 金币
- WEB
- 10月前
-
XXEwp
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 11月前
-
MemeHub
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 11月前
-
ssti
ssti-0xgame题目没有提示传达参数,尝试传参search=1发现None变成了1参数确定为search,题目既然是ssti,尝试寻找ssti注入点?search={{1*2}}发现ssti注入点,尝试ssti命令执行{{config.__class__.__init__.__globals__['os'].popen('cat../app/flag').read()}}报错了应该是被过滤了...
- WEB
- 11月前
-
2016X-NUCA联赛web真题集
看到题目Invisible,隐匿的,再看题目信息:隐藏IP来保护自己。接下来进入题目页(在实验机器中使用浏览器访问http://10.1.1.82),就是简单的两句话,HideIPtoprotectyourself!,Perhapsyouaresafenow!其实看到这里,有经验的同学应该就明白了,这道题出题人考察的地方可能就是伪造ip来源,代理相关的知识。我们知道的http头部信息里的几种关于i...
- WEB
- 1年前
-
filestorage
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
2 金币
- WEB
- 1年前
-
Fetus Web
***收费WriteUP请购买后查看,VIP用户可免费查看***
-
1 金币
- WEB
- 1年前
-
ManyGigems
首先根据题目提示,可以得到flag可能来自3个部分: part1:index.htmlsource(gigspage) part2:otherpage(cookiepage) part3:setsthecookies(cook.js)chrome浏览器F121.查看url/index.html得到:gigem{flag_in_2.查...
- WEB
- 1年前
