梦~醒🍇

[TOC] Misc the_secret_of_snowball 考点：破损文件，010editor查看 打开文件，是张破损的jpg文件 放进010editor，修改前缀。jpg文件前缀是FF D8 FF E1 找到一半flag 另一半去哪里了呢？在010editor末尾看到了一串特殊密码 进行解密得到另一半 最后合在一起，就是完整的flag。 每人至少300份 考点：二维码拼接 下载文件，是一堆分割的二维码，需要将二维码拼上，在进行扫描，就能看到信息。 扫出来后是一串字符。 解码得到flag。 解不完的压缩包 考点：压缩包套娃 下载文件，是压缩包套娃，999个压缩包重叠，没有密码，可以手动解压（雾）。 python脚本更快。（见脚本笔记） 解压完后最后一个压缩包里面有加密文件和flag。 前四个压缩大小和原始大小一样，考虑使用ZipCracker工具的CRC32碰撞提取内容，得到flag.txt的密码，最后得到flag。 web 垫刀之路01: MoeCTF？启动！ 先直接查看flag。 查看环境变量，执行set命令。出flag。 垫刀之路02: 普 ...

记录网站：【CTF_Web：php中的变量覆盖问题 - CSDN App】http://t.csdnimg.cn/LAmY1 变量覆盖函数:parse_str() 、extract()、import_request_variables() 1.什么是变量覆盖 变量覆盖基本都来自于各种函数（parse_str() 、extract()、import_request_variables()等）对用户输入取值时的问题，当用户对已经存在的变量再次通过 各种函数赋值时，将会触发变量覆盖，修改之前定义的值，这类问题需要严格定义用户可以输入的部分，或值避免使用存在此类问题的函数。 2.parse_str() 函数 原型：parse_str(string,array) 定义和用法：parse_str() 函数把查询字符串解析到变量中。 如果未设置 array 参数，由该函数设置的变量将覆盖已存在的同名变量。 php.ini文件中的 magic_quotes_gpc设置影响该函数的输出。如果已启用，那么在 parse_str()解析之前，变量会被 addslashes()转换。 例子： 3.extra ...

[TOC] Misc signin 登录网站，是个签到的题，根据提示直接让luo缺勤，其他全补签就可以了。（我第一次的时候还专门给其他人缺勤了，真是个好老师了。） 罗小黑战记 考点：动态图片 下载文件，是个116张图组成的动图，一帧一帧看，看到一个二维码，扫一扫出flag。 杂项入门指北 考点：摩斯密码 这个下载后是群里的入门文件和海报，线索在海报上，仔细观察就能看到摩斯密码。（找了好久才看到） 放进工具里解码。 不知道哪里出了点小问题，多了个‘T1’，要删除前面的，删后面的不行（恼火） ez-F5 考点：F5隐写 下载文件，是一个jpg文件，根据题目可知，应该是F5隐写工具。 在属性里找到备注信息 是base64，解码后得到no_password，盲猜是F5的密码。 使用工具拿到flag。 web Web渗透测试与审计入门指北 就用他给的文件搭建个环境，然后进网站就拿到flag。 弗拉格之地的入口 考点：爬虫管理 关键词“爬虫”，马上想到/robots.txt。 访问出flag。 ez_http 考点：http基础 考察http基础知识（不难但复杂）。打开网站， ...

SSTI漏洞： 超详细SSTI模板注入漏洞原理讲解_ssti注入-CSDN博客：https://blog.csdn.net/qq_61955196/article/details/132237648 焚靖工具安装:https://blog.csdn.net/m0_73683234/article/details/136789243 判断方法： 变量名=49 ＃如果正常回显，说明存在SSTI漏洞 python中的特殊属性： 常用的解题payload: 1234567891011code={{config.__class__.__init__.globals__['os'].popen('ls').read()}}code={{lipsum.__globals__.__builtins__.__import__('os').popen('ls').read()}}code={{url_for.__glob ...

flask中的session伪造 使用 密钥SECRET_KEY 和 经过解码原session篡改后的字典 可以重新加密生成一个session。 有一个开源脚本可以帮我们自动生成：https://github.com/noraj/flask-session-cookie-manager（kali机上已下载） 现在流行两种方式登录认证方式：Session和JWT，无论是哪种方式其原理都是保存凭证： 1.前端发起登录认证请求 2.后端登录验证通过，返回给前端一个凭证 3.前端发起新的请求时携带凭证 只不过session的重点是会在服务端存储凭证；而JWT不会在服务端存储凭证，而是会将返回的凭证根据签名和加密方式来校验其是否被篡改。 session安全问题： flask框架的session是存储在客户端的，那么就需要解决session是否会被恶意纂改的问题，而flask通过一个secret_key，也就是密钥对数据进行签名来 防止session被纂改，在我上面写的例子就定义有密钥（app.config[‘SECRET_KEY’] = ‘tanji_is_A_boy_Yoooooooooooo ...

[TOC] 一言既出（笔记KEY：intval绕过） 考点：弱类型比较，intval()函数，注释 123456789<?phphighlight_file(__FILE__); include "flag.php"; if (isset($_GET['num'])){ if ($_GET['num'] == 114514){ assert("intval($_GET[num])==1919810") or die("一言既出，驷马难追!"); echo $flag; } } 分析代码，传入num，要使num的值等于114514，经过intval()函数后要等于1919810。因此有两种思路： 1.让num的值同时满足这两个条件。比如可以构造num=114514+1919810-114514，传入时进行url编码。 由于是弱类型比较，提取开头数字就等于114514，满足条件1，而经过intval() ...