[置顶] 2024年终总结-gxngxngxn
摘要: 2024年终总结-gxngxngxn 引言 原本应该早就写完这一篇年终总结的,但由于期末和一些琐事,一直没时间,一拖再拖。到了最近放假了,才得空下笔。 想写年终总结的想法起源于去年的这个时候,也就是2024年的一月份左右。 那时我如往常一样打开收藏的大佬们的博客,映入眼帘的便是一篇篇年终总结。我饶有 阅读全文
posted @ 2025-01-10 12:21 gxngxngxn 阅读(403) 评论(3) 推荐(2)
2024年12月22日
DASCTF 2024最后一战-WEB-gxngxngxn
摘要: DASCTF 2024最后一战 const_python 很直白的pickle反序列化,直接打 import os import builtins import pickle import base64 import subprocess class A(): def __reduce__(self 阅读全文
posted @ 2024-12-22 11:45 gxngxngxn 阅读(970) 评论(7) 推荐(3)
2024年11月4日
2024强网杯-WEB-gxngxngxn
摘要: WEB PyBlockly from flask import Flask, request, jsonify import re import unidecode import string import ast import sys import os import subprocess imp 阅读全文
posted @ 2024-11-04 15:43 gxngxngxn 阅读(849) 评论(0) 推荐(2)
2024年10月29日
2024网鼎杯初赛-青龙组-WEB gxngxngxn
摘要: WEB01 开局随便随便输入都可以登录,登上去以后生成了一个token和一个session,一个是jwt一个是flask框架的 这边先伪造jwt,是国外的原题 CTFtime.org / DownUnderCTF 2021 (线上) / JWT / Writeup 先生成两个token,然后利用rs 阅读全文
posted @ 2024-10-29 21:04 gxngxngxn 阅读(3695) 评论(0) 推荐(2)
2024年7月21日
DASCTF 2024暑期挑战赛-WEB-Sanic's revenge gxngxngxn
摘要: DASCTF-WEB-Sanic's revenge gxngxngxn 写在开篇碎碎念 在我上篇文章(https://www.cnblogs.com/gxngxngxn/p/18205235)的结尾,我分享了两点我在寻找污染链的过程中发现的一些新玩意。其中作为本题考点之一的file_or_dire 阅读全文
posted @ 2024-07-21 15:18 gxngxngxn 阅读(1218) 评论(8) 推荐(2)
2024年6月24日
2024CISCN华东南-WEB-gxngxngxn
摘要: WEB 差不多2小时就把web给ak了,没想到华东南强度最大的不是题目,而是场地连续8小时的30多度高温( welcome submit-BREAK submit-FIX 修复点在upload.php <?php // $path = "./uploads"; error_reporting(0); 阅读全文
posted @ 2024-06-24 08:27 gxngxngxn 阅读(1276) 评论(1) 推荐(1)
2024年5月22日
CISCN2024-WEB-Sanic gxngxngxn
摘要: CISCN2024-WEB-Sanic 复现 风起CISCN 身为web🐕的我被国赛折磨了两天,已经是体无完肤了。本次众多web题中,最让我影响深刻的还是第一天的Sanic这题,也是全场唯一一解题。比赛结束后,我迫不及待的想看看这题怎么做,于是我询问了神通广大的p2✌,他如同天上降魔主,真乃人间太 阅读全文
posted @ 2024-05-22 00:30 gxngxngxn 阅读(3156) 评论(0) 推荐(4)
2024年5月12日
新版FLASK下python内存马的研究
摘要: 新版FLASK下python内存马的研究 风起 2月中旬的某一天,跟@Ic4_F1ame无聊时聊起了出题的事。当时是打算出道python题目(菜🐕的我之前只会出php的)。两个卑微web🐕一起讨论出题,于是就有了下面的聊天,也是罪恶的开始(bushi): 内存马初体验 当时正好看到一篇关于fla 阅读全文
posted @ 2024-05-12 20:51 gxngxngxn 阅读(2810) 评论(1) 推荐(4)
黄河流域挑战赛WEB部分-gxngxngxn
摘要: 黄河流域公安院校挑战赛WEB部分-gxngxngxn myfavorPython pickle反序列话,开启debug,用报错 import os import pickle import base64 class A(): def __reduce__(self): return (exec,(" 阅读全文
posted @ 2024-05-12 20:51 gxngxngxn 阅读(1014) 评论(0) 推荐(0)
2024年5月7日
高校运维赛WEB部分-gxngxngxn
摘要: 高校运维赛WEB部分-gxngxngxn phpsql 利用万能密码登录 admin/""="a'='a 登录进后台后得到flag pyssrf 访问/source可以得到源码 from flask import Flask,request from redis import Redis impor 阅读全文
posted @ 2024-05-07 07:38 gxngxngxn 阅读(383) 评论(0) 推荐(1)
下一页