2024年6月7日
[GHCTF 2024 新生赛]理想国 flask session伪造
摘要: 忙着毕业论文几天没做题了。 进入页面发现几个api接口,注册登录搜索登出4个。 利用postman访问注册接口注册。 可以看到返回了token,利用token访问login。 尝试search页面传入file参数试试能不能目录穿越。 得到secret-key,这里有个非预期解,访问/proc/1/e 阅读全文
posted @ 2024-06-07 14:03 jockerliu 阅读(586) 评论(0) 推荐(0)