摘要:
来自:[网鼎杯 2020青龙组]FileJava hgame遇到一个无回显XXE,这次找java题恰好又找到一个,虽然是四年前的题,但思路大差不差,都是传dtd文件,然后反弹shell,那么重点我们就来看代码审计部分。 进入发现是一个文件上传: 随便传一个文件看看: 给了一个下载地址,访问试试: 能 阅读全文
摘要:
这个取证有点意思,也没有套太多。 下载附件,直接FTK打开,我们发现两个分区,其中一个又hint.zip和一个图片,发现里面图片一致,一眼丁真明文攻击: 打开见key: 直接Password kit Forensics开梭: 然后FTK继续开,找到flag.txt,里面是个字符串,一眼十六进制转出摩 阅读全文
摘要:
hackjs 看下源码: const express = require('express') const fs = require('fs') var bodyParser = require('body-parser'); const app = express() app.use(bodyPa 阅读全文