nnonkey k1n9的博客

当你为错过太阳而哭泣时,你也要再错过群星了——泰戈尔​

最新发布

python题解

[NSSRound#13 Basic]flask?jwt?(hard)

ljl 阅读(165) 评论(0)

前言这题主要很sb,首先讲一下思路我们可以看到是flask和python开发的,然后进去就不是admin,明显session伪造,找key坑1就是没有key解码出来的能看个大概,但是和有key解出来的不一样,所以得到...

python题解

[CISCN 2019华东南]Web4

ljl 阅读(96) 评论(0)

前言说好的一天一道ctf,差点忘了,耍脱了,赶快做起来,现在还欠了一道解题进入题目点击链接后直接跳到百度了,毫无疑问,ssrf,而且参数都给了url,尝试file读取文件,你妹,file被禁了应该,怎么办,绕一绕,绕...

ssrf

MyBox

ljl 阅读(63) 评论(0)

总结file一般会去读哪些文件? gopher伪协议在这里探测内网可以干嘛,ssrf题目的思路一般离不开gopher协议题解看到有个url参数猜测这里存在SSRF漏洞。尝试伪协议读取/etc/passwd,成功,存在...