w h y ? y o u a r e h e r e ?

2017-CUIT WEB300 SSRF短域名生成工具 题目还有一个phpinfo.php提供得到信息内网有REDIS 地址为172.18.0.2,目地就是SSRF攻击redis了。 URL地方输入你的地址 服务器会请求一次,但是对内网的地址禁止了。外面的地址没有限制 访问tools.php ...
阅读全文 »

bash on windows安装前设置参考:http://blog.csdn.net/diamondxiao/article/details/52458446 安装在powershell或者cmd直接bash 会提示你下载安装 很慢很慢 使用proxifier代理除了ss之外的全部程序,ss设置全 ...
阅读全文 »

说在前面对于web,不得不说,这是一场质量很高的CTF,感谢师傅提供好题目,好环境。 在这里记录一下这次web所涉及到的姿势,好好膜拜学习。 web200-1题目hint:注入,使用from和括号, 在登录框输入尝试可知用户名是admin,在header头部看到提示,一串base64,解码后为 12 ...
阅读全文 »

lctf一题 web_250–苏打学姐的网站 这个题目一共有三个步骤。 首先是文件读取,有一点小坑,当时放题想过要不要把后台正则匹配的代码提示出来,但是看到几个师傅秒过就算了,(源码末尾打包) 然后就是一个常规的CBC翻转,ctf也出现过。 最后是一个上传,比较实战的一个点,使用.user.in ...
阅读全文 »