无题
[NISACTF 2022]bingdundun~
首页f12发现bingdundun参数且提示flag当前目录下
文件上传题目,编个木马
1 | <?php |
打成压缩包,传过去,发现路径为16fc268ba341d3f222aaecc1b5efe6ea.zip
回到首页,利用phar协议读取,payload:
1 | ?bingdundun=phar://16fc268ba341d3f222aaecc1b5efe6ea.zip/a |
可以发现触发了phpinfo
antsword链接,根目录下发现flag
[RoarCTF 2019]Easy Java
WEB-INF泄露
打开可以看到登录框,但是其实即使爆破后登录成功也不会给flag
点进help看看,发现java.io.FileNotFoundException:{help.docx}
尝试Download读取
发现可以下载,但是help内不含flag
尝试下载/WEB-INF/web.xml
在web.xml种发现flag管理器
post传参:filename=WEB-INF/classes/com/wm/ctf/FlagController.class
下载后发现一段base64编码
获得flag
[BJDCTF2020]Cookie is so stable
在flag页面有个登录,在hint页面f12后提示查看cookie
在user的内容会以Hello xxx返回
ssti测试,发现页面把结果算了出来,存在ssti注入,发送7*’7’发现依然是49,说明是twig模板,因为jinja2模板下会返回7个7
测试版本,利用_self这个独特的全局变量发现是1.x版本
最终payload:
1 | {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} |
先找到注入点,判断模板引擎和版本,之后再找payload
[LitCTF 2023]Flag点击就送!
进入题目,登录看看,发现在拿flag时只有管理员才行
burp抓包
发现session,考虑session伪造
json格式
flask框架,flask session伪造
使用https://github.com/noraj/flask-session-cookie-manager
密钥尝试LitCTF
1 | python3 flask-session-cookie-manager3.py encode -s 'LitCTF' -t '{"name":"admin"}' |
访问/flag并改session
获得flag