HNCTFWP
WEBReally_Ez_Rce 第一步用数组就能直接绕过,第二步经过测试可以用$5进行隔断执行命令, 拿到flag ez_php1234567891011121314151617181920212223242526272829303132<?phperror_reporting(0);class GOGOGO{ public $dengchao; function __destruct(){ echo "Go Go Go~ 出发喽!" . $this->dengchao; }}class DouBao{ public $dao; public $Dagongren; public $Bagongren; function __toString(){ if( ($this->Dagongren != $this->Bagongren) && (md5($this->Dagongren)...
Litctf2025
webnest_js 弱密码,爆破得到用户名和密码为,admin,password 星愿信箱 1过滤了{{}}双写的大括号,利用{%%}绕过,cat /flag利用 nl /f* 进行绕过 ez_file 这边有一个重定向,可以进去看一下 这边又一个文件包含,可以上传jpg,进行文件包含。 传马 得到flag 多重宇宙日记知识点: 本题考的是原型链污染,在js语言中每个对象都有__proto__属性,指向了构造函数的原型对象,当我们可以对键名进行控制并且字符串可以被解析成对象或方法时就可以进行原型链污染(按我理解后端代码应该还得有递归)。我是这样理解的,_proto__属性通过递归修改掉object.prototype,从而将整个原型链进行污染 就这样 easy_signin 扫一下目录 这边有一个api.js 文件读取 然后你会发先flag不在根目录,而且有waf 最后读取/api/sys/urlcode.php,发现这个文件,访问 得到flag 君の名は12345...
第二届帕鲁杯复现wp
webCatBank创建两个账号,test1和test2,第一个想第二个转账1000000,然后第二个在转给M猫,得到flag 猫猫的秘密12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182<script> let token = ''; document.getElementById('loginBtn').addEventListener('click', async () => { const username = document.getElementById('username').value; const password = d...
轩辕杯复现wp
webezflask 焚经一把梭了,直接打开无回显,写进1.txt看的 ezjs 信息泄露 flag ezrce 文件读取flag ezssrf 访问flag ez_web1 文件读取源码 找key伪造cookie 密钥来自环境变量 看看 有个非预期 密钥在这th1s_1s_k3y 伪造成功 这样就可以上传文件了 上传文件我们需要利用reading.html,进行模板渲染,然后打ssti,但是文件会被删除,那么有文件删除,文件上传,文件读取,那我们就可以打条件竞争,多上传,让它在删除之前被我们读取到 得到flag 签到 用head方法提交,到这关很新颖,身份验证ua头 中间的过程就不展示了 ezsql1.0 ctf库下的flag表里的是假flag 只能在去找别的库 得到flag