网信柏鹭杯2023 wp
摘要:
express fs ?file[href]=a&file[origin]=1&file[protocol]=file:&file[hostname]=&file[pathname]=/home/node/fl%2561g.txt 综合题5、6、7 spring heapdump泄露信息 sun.j
ctfshow刷题(Java反序列化)
摘要:
# CTFshowJava反序列化 ## web846 urldns链 ```Java import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.ObjectOutput; import java
7.1
摘要:
# \[安洵杯 2020]Normal SSTI 过滤`{{}} [] config`和一系列常规的字符串 ```Python lipsum|attr("__globals__").get("os").popen("ls").read() ``` 用`{%print()%}`+unicode编码绕过
6.29
摘要:
dg-publish: true # \[CISCN 2023 初赛\]go_session [session伪造] 三个路由 ```Go r.GET("/", route.Index) r.GET("/admin", route.Admin) r.GET("/flask", route.Flask
记一次靶场渗透
摘要:
# 外围突破 thinkphp 5.0.22 ``` GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=bak.php
ctfshow终极考核
摘要:
# 信息收集 > 这个环境就只涉及目录扫描了 ``` [18:04:02] 200 - 43B - /.bowerrc [18:04:03] 200 - 34B - /.gitignore [18:04:04] 200 - 2KB - /.travis.yml [18:04:24] 200 - 3K
XXE
摘要:
https://xz.aliyun.com/t/3357 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想
buu刷题记
摘要:
[强网杯 2019]随便注 ?inject=-1';show databases%23 ?inject=-1';show tables from `supersqli`%23 ?inject=-1';show columns from `1919810931114514`%23 得知flag在sup
miniL ctf2023 WP
摘要:
Signin shell.php查看源码 <?php error_reporting(0); show_source(__FILE__); $a = $_GET["a"]; $b = $_GET["b"]; $c = $_GET["c"]; $d = $_GET["d"]; $e = $_GET["
JWT
摘要:
jwt(JSON Web Token) 是一串 json 格式的字符串,由服务端用加密算法对信息签名来保证其完整性和不可伪造。Token 里可以包含所有必要信息,这样服务端就无需保存任何关于用户或会话的信息,JWT 可用于身份认证、会话状态维持、信息交换等。它的出现是为了在网络应用环境间传递声明而执
