【wp】2023第七届HECTF信息安全挑战赛 Web

文大。2023-11-19 23:49

伪装者

考点:http协议+flask的session伪造+ssrf读取文件

首先根据题目要求就行伪造HTTP

这里不多说,比较基础 然后下面得到是个登入 页面,我们输入zxk1ing

得到 说什么要白马王子 ,一眼session伪造

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

然后我们就得到 flag在这个路径下 试了下伪协议读取无果,发现有个url读取

测试一下ssrf读取 成功获得flag

相关推荐
unable code17 小时前
攻防世界-Misc-pdf
网络安全·ctf·misc·1024程序员节
风语者日志1 天前
[LitCTF 2023]作业管理系统
前端·网络·安全·web安全·ctf
Pure_White_Sword2 天前
Bugku-Web题目-cookies
web安全·网络安全·ctf
f0rev3r7 天前
NewStarCTF2025-WEEK3
ctf
希望奇迹很安静7 天前
DVWA靶场通关笔记
web安全·网络安全·ctf·文件上传
kali-Myon9 天前
NewStarCTF2025-Week3-Web
sql·安全·web安全·php·ctf
风语者日志14 天前
攻防世界—easyupload
数据库·web安全·ctf·小白入门
序^章14 天前
【CTF | 比赛篇】Newstar ctf web
网络安全·ctf
sln_155015 天前
2025强网杯tradRE简单wp
安全·逆向·ctf
风语者日志16 天前
CTFSHOW—WEB4
网络·安全·web安全·网络安全·ctf
热门推荐
01GitHub 镜像站点02综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件03UV安装并设置国内源04npm使用国内淘宝镜像的方法05Linux下V2Ray安装配置指南06BongoCat - 跨平台键盘猫动画工具07《大数据技术原理与应用》实验报告三 熟悉HBase常用操作08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10jdk21下载、安装(Windows、Linux、macOS)