会员
众包
新闻
博问
闪存
赞助商
HarmonyOS
Chat2DB
所有博客
当前博客
我的博客
我的园子
账号设置
会员中心
简洁模式
...
退出登录
注册
登录
crook
博客园
首页
新随笔
联系
订阅
管理
1
2
3
4
下一页
2025年10月14日
云曦第二次考核复现
摘要: WEB EzGetFlag 打开是这样一个界面 这里去看下源代码 点击查看代码 from flask import Flask, request import mysql.connector, hashlib app = Flask(__name__) # MySQL connection conf
阅读全文
posted @ 2025-10-14 23:07 crook666
阅读(6)
评论(0)
推荐(0)
2025年9月24日
封神台复现
摘要: EzPyeditor 这个界面没啥东西,直接下载源码看一下 进去看一下app.py 熟悉的界面,又是他 这里先去追踪一下这个函数parse 这里这个函数大体上来说是存在一个文件读取的漏洞的 这个漏洞会接受filename这个参数 这里我们就可以自己去设置这个参数 然后下面还有一个函数两个联合起来可以
阅读全文
posted @ 2025-09-24 20:48 crook666
阅读(12)
评论(0)
推荐(0)
2025年9月23日
XYCTF2025复现(WEB)
摘要: ez_puzzle 打开环境也是发现个神奇的东西 这里只要按键盘上的按键就会弹出这个 还有右键也不行 还有一个看源代码的方法,直接在网页里面输入,不过这个要在访问这个界面之前输入 就是一个禁止键盘按键和鼠标右键的代码 随便拼一下看看会发生什么 啥都没发生 抓个包看看 这里面有个新的请求头 If-No
阅读全文
posted @ 2025-09-23 00:02 crook666
阅读(7)
评论(0)
推荐(0)
2025年9月17日
Polar&D
摘要: 简单 swp 可以先搜一下这是个啥东西,看着有点眼熟 简单说就是一i个临时的备份文件,直接盲猜www.swp 也是不对,扫一下看看 直接访问一下 看源代码 这里可以发现我们输入的先是进行正则匹配然后检查其是不是数组 如果是数组的话就进入下一个阶段 然后使用strpos看一下里面有没有str nb这个
阅读全文
posted @ 2025-09-17 15:17 crook666
阅读(7)
评论(0)
推荐(0)
2025年9月5日
2024年美亚杯
摘要: 1 2 很明显看出下面是clara的电话 不过这里要转换一下时间戳 这里要注意符合题目要求的是第二个不是第一个 所以只有三个不符合 所以是88 3 这里在Emma那里没有找到这里换取clara手机里找 4 所以在plist文件里面可以找到相应的版本信息 8.0.50 5 所以A不选 IMEI是一个国
阅读全文
posted @ 2025-09-05 19:12 crook666
阅读(4)
评论(0)
推荐(0)
2025年9月1日
2025年秋季学期开学第一次考核
摘要: WEB EzPyeditor 打开环境 这一题就是python的一个编辑器然后在线检查一下你的语法对不对 下载附件 这里就是两个路由 重点在第二个路由 check 发送的是一个json格式的 然后下面traceback.format_exec()是用来追踪报错 flag.sh 可以看见这里是修改了s
阅读全文
posted @ 2025-09-01 22:54 crook666
阅读(40)
评论(0)
推荐(0)
2025年8月29日
练习
摘要: [CISCN2019 华北赛区 Day2 Web1]Hack World 这里测试了一下是空格被过滤了 这里知道了flag是在flag表李的flag字段 所以可以直接写脚本来做 点击查看代码 import requests import string def bool(url): flag = ''
阅读全文
posted @ 2025-08-29 23:52 crook666
阅读(5)
评论(0)
推荐(0)
2025年8月21日
2023年美亚杯
摘要: 安卓 1 直接看SIM卡 2 虽然两个都有但是这里单选所以选择WhatsApp 3 这里并没有找到任何反追踪软件 wp也没有 4 在短信里面可以发现这里有验证码 所以时间是2022-08-18 5 代码是304313 6 在文档里面找到了他的工作证 7 图片里面打开第一张就是 这个创建时间和修改时间
阅读全文
posted @ 2025-08-21 11:56 crook666
阅读(20)
评论(0)
推荐(0)
2025年7月31日
AWD复现(Bugku)
摘要: 环境搭建 首先把源码下载下来这里就可以使用很多方法 可以直接使用Mobaxterm直接连接之后下载 或者使用FileZilla下载 这里是要下载WEB目录的源码一般是html那个文件夹 下载之后个人认为最简单的方法就是使用小皮来搭建 防御 D盾扫描 讲web目录拷下来然后直接使用D盾扫描 emmm结
阅读全文
posted @ 2025-07-31 16:31 crook666
阅读(55)
评论(0)
推荐(0)
2025年7月29日
2025暑假作业(7.28~8.3)
摘要: SQL注入 [极客大挑战 2019]FinalSQL 打开环境 看下源代码有些什么 看来是没有藏东西 看下这五个神秘小代码 1 2 3 4 5 看来真是啥都没有 url是发生了变化的 输入6看看 说聪明但是不是这个表 说明我们之前显示出来的id=多少后面跟着的是表 然后再查询内容回显上来 尝试一下上
阅读全文
posted @ 2025-07-29 09:21 crook666
阅读(14)
评论(0)
推荐(0)
1
2
3
4
下一页
公告