Posts

强网杯web api题

发布于 2019-9-11

根据提示直接在后面加了个/api 爆出提示 提示Post传参filename,看参数应该是任意文件读取,扫一波目录文件 读一下这两 index.php/ hack.php文件 提示json格式,那再json格式来一次 ...

0
162

强网杯ctf(php题)

发布于 2019-9-9

定义一个方法直接读flag.php   1.Get传参code,并且长度不能大于27 2.然后匹配正则/[a-zA-Z0-9_&^<>"\']+/  ...

0
141

xss挑战

发布于 2017-9-21

这是我的日记来解决所有的XSS挑战http://xss-quiz.int21h.jp/编写的,这是一个入门级的,用来学习一些跨站点脚本和注入在不同浏览器的几种方法 第一关:根据要求,我们不能用任何工具 输入1234测试看看有没有闭合,然而并没有直接输入<scr...

4
1397

某网络安全公司的十道CTF面试题(JS)

发布于 2017-8-18

0x1:这里我们可以看见 var e = a.substr(0x8, 0x5) e字符串为a的第九位到第十三位 var b = b.replace(/3/ig, ++d+1).replace(/8/ig, 'e') 然后利用这正则取正确的e值 得e的md5...

0
1081

某网络安全公司的十道CTF面试题(2 CSRF)

发布于 2017-8-18

0x1:首先我们看看下图的CSRF攻击介绍 要防御CSRF攻击,网站只需要对于每一个请求验证其Referer值,(但是Referer值我们也是可以伪造的) 还可以用二次确认,就是在调用某些功能时进行二次验证来进行防御 ...

0
505

某网络安全公司的十道CTF面试题(1文件上传)

发布于 2017-8-18

0x1:题目要求就是上传个图片马并且白名单格式为jpg、gif、png这些大小不超过1M,一句话里使用eval函数。 0x2:那我们就首先去找一张图片大小不超过1M, 然后用C32工具以十六进制来打开图片, 将这一句话<?php eval($_POST[t...

0
547