分类:ctf刷题

2 篇文章

thumbnail
攻防世界
最近准备多点题,之前把攻防世界新手区做了,现在开始做进阶区 WEB Web_python_template_injection 根据题目知道这是道SSTI注入点,但题里并没有告诉传参给谁,猜测是直接通过域名 测试 看出存在SSTI注入 可以测试出来这是python2 payload {{().__class__.__bases__[0].__sub…
thumbnail
BUUCTF刷题之旅
简单记录下我在buuctf的刷题过程 [极客大挑战 2019]Upload 打开页面是一个文件上传题目 先上传一个空文件hack.php试试,会提示not image 抓包尝试修改后缀和MIME类型也过不了 图片马尝试,虽然能上传,但是图片并不能解析 并测试中发现不能使用<? ,必须得用\<script>的方法上传一句话 <scr…