xmctf-writeup
web题都是做过的,改改payload就能秒,有些题还是挺有趣的 easy-web-考核 源码: <?php show_source(__FILE__); $key = "bad"; extra…
BJDCTF-web-writeup
BJDCTF是校赛,题目还是很友好的,只是我太菜了。 Fake google 打开页面是一个仿google搜索框 尝试注入、XSS等,发现可以XSS 然后尝试打xss发现并没有什么用, 想到SSTI存…
Tornado小记(攻防世界easytornado)
页面: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename…
flask模板注入笔记
任意文件读取: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{…