【wp】2023第七届HECTF信息安全挑战赛 Web

文大。2023-11-19 23:49

伪装者

考点:http协议+flask的session伪造+ssrf读取文件

首先根据题目要求就行伪造HTTP

这里不多说,比较基础 然后下面得到是个登入 页面,我们输入zxk1ing

得到 说什么要白马王子 ,一眼session伪造

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

然后我们就得到 flag在这个路径下 试了下伪协议读取无果,发现有个url读取

测试一下ssrf读取 成功获得flag

相关推荐
祁白_20 天前
PHP回调函数
web安全·php·ctf·代码审计·writeup
Eileen Seligman22 天前
0CTF/TCTF 2023 OLAPInfra Nashorn RCE + HDFS UDF RCE
大数据·hadoop·hdfs·ctf·rce
qsuperm1 个月前
LitCTF2026WEB
网络安全·ctf
路baby1 个月前
2026第十届御网杯网络安全大赛线上赛 区域赛WP (MISC和Crypto)(详解-思路-脚本)
安全·web安全·网络安全·密码学·ctf·misc·御网杯
沄媪1 个月前
CSRF 跨站请求伪造
前端·ctf·csrf
沄媪1 个月前
XSS 跨站脚本攻击
前端·ctf·xss
沄媪1 个月前
反序列化漏洞
ctf·反序列化
祁白_1 个月前
[0xV01D]_Night Traffic_writeUp
网络·安全·ctf·writeup
祁白_1 个月前
[0xV01D]_Release Echo_writeUp
大数据·安全·ctf·writeup
yv_301 个月前
yx秋季26期中考
ctf
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?03飞书长连接_事件订阅(接收消息,审批任务状态变更)04Trae国际版与国内版深度测评:AI原生IDE的双生花052026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf06GitHub 镜像站点07【AI】2026 年具身智能模型和世界模型总结082026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?