Aru3h@rk's Blog

CISCN2023 部分webunzip1题目内容：unzip很简单，但是同样也很危险 源码 12345678910 <?phperror_reporting(0);highlight_file(__FILE__);$finfo = finfo_open(FILEINFO_MIME_TYPE);if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){ exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]);};//only this! 利用unzip -o的覆盖功能，创建两个压缩包，第一个上传链接到/var/www/html的软链接test，第二次上传一个目录test，test里面有小马。 上传上去就相当于，将test目录中的内容 ...

flask读mem获取secret_keysecret_key用于作为密钥对会话数据进行加密，flask session的伪造需要先获得secret_key。 前两点为普通的session伪造，最后一点为读mem获取secret_key ①明文secret_key题目源码里直接给出了secret_key，只需要用flask-session-cookie-manager伪造即可 例题：[HCTF 2018]admin (BUU) ②不安全的随机数secret_key题目用于生成secret_key的随机数函数是不安全的，可预测 例题：[CISCN2019 华东南赛区]Web4 (BUU) 题目中的key生成部分代码如下 12random.seed(uuid.getnode())app.config['SECRET_KEY'] = str(random.random()*233) uuid.getnode()获取的是sys/class/net/eth0/address中的MAC地址转十进制的值 对于伪随机数，如果seed ...

flask开启debug模式通过算pin rce赶时间速成的话先看总结。 算是比较老的一个常用姿势了。 利用的基础是有一个任意文件读取 如果这里讲得不清楚，建议看ctfshow的视频，b站有 靶场先贴一下靶场，大家可以到这里复现 BUU-[GYCTF2020]FlaskApp CTFSHOW-web801 nss不知道有没有（ flask的几种开启debug模式的方法1.app.run 传参debug=true1app.run(debug=True) 2.设置app的配置12app = Flask(__name__)app.config['DEBUG'] = True 3.配置文件方式 config.py中添加debug模式 1DEBUG = True app.py中引用配置 12import configapp.config.from_object(config) 什么是PINpin码通常用于验证身份，例如windows就有pin码可代替密码登录。 以下的pin码指的是flask开启debug模式下，运行代码调试模式的pin码。通过输入 ...

Webbaby_php1234567891011121314151617181920212223242526272829303132333435363738394041424344 <?php error_reporting(0); class Welcome{ public $name; public $arg = 'oww!man!!'; public function __construct(){ $this->name = 'ItS SO CREAZY'; } public function __destruct(){ if($this->name == 'welcome_to_NKCTF'){ echo $this->arg; } } ...

2023 HSCCTF wp2023/02/11 00:00 UTC+8 - 2023/02/12 23:59 UTC+8 关于竞赛 本届HSC-2th 2023是由中龙技术联合社会战队红客突击队（HSCSEC）举办。 本次比赛将采用在线网络安全夺旗挑战赛的形式，涵盖web,crypto,misc,reverse,pwn等主流方向，并面向全球开放。比赛三甲可获突击队周边礼品。前十名可获得合作伙伴赞助黎礼品以及实体证书。 miscSIGNIN关注公众号：中龙 红客突击队 发送：HSCCTF{TELLMEFLAG}获取flag！ webEZSYFLASK这题真的卡了很久，我好菜，一开始没扫目录，没发现开了debug，没想到算pin。 可以文件读取，加上开了debug，所以算pin。 环境为：Werkzeug/2.2.2 Python/3.8.2 docker容器 app.py 1234567891011121314151617181920212223242526272829303132333435363738394041424 ...

WebHNGK-xxx1xxe 描述： 1xxx 点登录发现没反应，看源码发现ajax 12345678910111213141516171819202122232425262728293031323334<script type='text/javascript'> function doLogin() { var username = $("#username").val(); var password = $("#password").val(); if (username == "" || password == "") { alert("Please enter the username and password!"); return; } ...

MISC盗梦空间 密钥： 1PB5CMZCPGU7GSJKNJRDUQYJFMZJE24BSIR3TGI3TJ55FGQ2GERJGIWDAJBHTK2BVIFIDKNZ2LJKFKND2L5QX42B6HJJFA7LLLBHUE4S5MZTDYTRTLFAHUVBMFN5SWQLLLZRWQ6SHO5CTMXRYKV5FMLSCLEUWSWBQJI2VGOR4JE5UYUKQPRXTWJLUJB3TWVKZFM3F6WTRJYRFC432KVEC4ILYKRTTCQTFKBWTAYSNN5XTE2TKMBSHWNSFNQQVURCZO55G6OZUFNKSIOJRGA2EYYKOMJMXK3TYIB4UWZLRJ54GUTLWFJWEWTLKMR6TKJSHOUYWMKS7IUUWMMDXL5QUC2KJEQWE4R2VFJCQ==== 这种适合用ciphey直接解 Megumi 一波检测操作下来无任何发现。通过题目描述，搜一下图 搜索：不起眼女主角培育法 同人游戏社团 得到社团Blessing Software。到这一步卡死。 后面给出了提示 123Misc-Megumig ...

时间来不及，最后一天打的，只写了一些web Web登录试试 12345678910111213141516171819202122232425262728#coding=utf-8/gbkimport requestsfrom hashlib import md5import timeburp0_url = "http://121.5.62.30:38001/EasyTime/Syclover"burp0_cookies = {"JSESSIONID": "627E869E84314D5F9920798403870F8C"}burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0", "Accept": "text/html,application/xhtml+xml,app ...

2022 UNCTF部分WP 队名：╰(￣ω￣ｏ) 分数 2644 排名 16/830 WEB签到-吉林警察学院 源码给了个账号密码， 不是sql注入。发现输入20200102时，回显了一个f 跑一下 1234567891011121314151617181920212223242526272829# coding=utf-8/gbkfrom urllib import parseimport timeimport requestsburp0_url = "http://333f6826-f781-43f2-9be2-e964607ce7f7.node.yuzhian.com.cn:80/index.php"burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0", "Accept": "text/htm ...

2022 天权信安&catf1ag网络安全联合公开赛前段时间在忙考试，很久没更新了，把之前的wp补一下哈哈。 这场比赛我只写了web webezlogin robots.txt 1Disallow: /imdex.php/ 路径经过一次hex，两次base64加密 以source.php为例 1/imdex.php?way=TnpNMlpqYzFOekkyTXpZMU1tVTNNRFk0TnpBPQ== imdex.php 1234567891011121314151617181920212223<?phperror_reporting(E_ALL || ~ E_NOTICE);header('content-type:text/html;charset=utf-8');if (!isset($_GET['way']) ) header('Refresh:0;url=./imdex.php?way=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3');$file = hex2bin(b ...