only_real_revenge
在源码找到一个账号密码
登录上去是一个文件上传点,显示身份user,功能不可用,判断是要提权admin
先退出,再登录一次抓包
先放行一次,会又抓到一个请求包,里面有一个token
直接用jwt-cracker,爆破出密钥,为“cdef”
先上传一个png文件
抓包后把后缀改成.php,内容为一句话木马,用字符串拼接绕过
1 | |
得到木马路径,直接访问
最后在根目录获得flag,only_real也是这个解法
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Lengkur!
相关推荐
2026-01-16
web161-文件上传-.user.ini+远程文件包含
1.先上传一个.user.ini配置文件,这要加上GIF89a,这是GIF文件的图片头,以便绕过过滤 12GIF89aauto_prepend_file=shell 意思为在所有php文件前插入shell文件的内容 当然上传这种配置文件要求当前目录要有.php文件,可以扫描目录发现有个i...
2026-01-16
phar反序列化
1.打开靶场,有一个文件上传点,ctrl+u发现源码 2.把源码复制到html文件在浏览器打开看到反序列化代码,get传参的file的内容不能有flag字符串,提示flag在环境变量 123456如果上传文件会在当前目录生成upload目录uniqid将当前的秒数和微妙数转换成十六进制mo...
2026-01-20
web183-sql-布尔盲注-空格过滤-=过滤
可以看到sql语句用来查pass的记录数(pass和用户的数量是相等的),这里过滤了很多字符,我们可以用()来绕过空格 我们可以用“表中有没有这条数据”的思路来猜字符,如 12345tableName=(ctfshow_user)where(pass)like'ctfshow%&#...
2026-01-16
[NISACTF 2022]level-up~robots-md5强碰撞-sha1强碰撞-php变量解析绕过-create_function绕过
1.查看源码有一个disallow,想到了robots.txt 访问看到第二关 2.是md5强碰撞 这时候要用到一个工具可以快速帮我们找到字符不一样但是md5值一样的一对 123hashclash //专门用来md5碰撞的工具里面有个md5_fastcoll命令:md5_fastcoll...
2026-03-29
DXT
是个mcp题目,一进来就是一个文件上传点,要求上传.dxt文件,相当于给ai上传一个服务,我们可以上传一个恶意文件,让ai将我们想要的东西发给我们 在这个题目中有很多字段是需要我们去试出来如果没有上传的时候就会报错,加上就可以了 写一个manifest.json 文件,意思是让ai用sh命...
2026-03-31
AutoPypy
进来简单看一下,可以知道是个文件上传点,文件上传后再执行文件中的代码,题目给了源码 server.py为主程序 launcher.py利用proot命令创建一个沙盒环境,隔离性相当docker,用于安全执行代码 但是这里挂载的目录是读写模式,这就导致可以把python标准库文件给覆盖掉 12...