【wp】2023第七届HECTF信息安全挑战赛 Web

文大。2023-11-19 23:49

伪装者

考点:http协议+flask的session伪造+ssrf读取文件

首先根据题目要求就行伪造HTTP

这里不多说,比较基础 然后下面得到是个登入 页面,我们输入zxk1ing

得到 说什么要白马王子 ,一眼session伪造

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

然后我们就得到 flag在这个路径下 试了下伪协议读取无果,发现有个url读取

测试一下ssrf读取 成功获得flag

相关推荐
Pure_White_Sword1 天前
[广东省大学生攻防大赛 2022]pyre
网络安全·ctf·reverse·逆向工程
泷羽Sec-静安2 天前
AICTFer一天速成指南
python·sql·ctf
ad禥思妙想2 天前
BUUCTF_刷题记录(二)
ctf
0vvv04 天前
2026-NCTF-web-N-RustPICA
前端·ctf
yv_304 天前
ssti靶场练习(sstilabs,重庆橘子科技)
ctf·ssti
祁白_7 天前
Bugku:备份是一个好习惯
笔记·学习·web安全·ctf
蒲公英eric8 天前
攻防世界 misc题GFSJ0403-【intoU】
ctf·misc·攻防世界·音频题
kali-Myon10 天前
CTFshow-Pwn142-Off-by-One(堆块重叠)
c语言·数据结构·安全·gdb·pwn·ctf·
三七吃山漆11 天前
BUUCTF[极客大挑战 2019]Http
web安全·网络安全·ctf·极客大挑战
unable code12 天前
[HNCTF 2022 WEEK2]ez_ssrf
网络安全·web·ctf·1024程序员节
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南04OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07Oh My Codex 快速使用指南08开发者环境配置:用 Ollama 实现本地大模型部署(附下载慢的解决方案09实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了10UV安装并设置国内源