WebMar 16, 2024 · 还想提到的一道题是今年的justCTF的baby-csp. 通读代码，我们可以得到一些信息. 1.flag在secret.php里面. 2.在判断flag传参时候先判断用户是否为admin,并设置了 "X-Content-Type-Options: nosniff"，则 script\ 和 styleSheet\ 元素会拒绝包含错误的 MIME 类型的响应。. 这是一种安全功能 ... WebSep 20, 2024 · ctfshow{893332587} 三、CRYPTO篇. 密码不是我的强项，但这次居然能做两题出来，属于是铁树开花了嗷铁汁萌. 我的木头啊！！！ 根据题意，先进行栅栏密码 …

ctf.show

WebMay 20, 2024 · 前言 记录web的题目wp，慢慢变强，铸剑。 XSSweb316 什么是xss？ 1、跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，故将跨站脚本攻击缩写为 XSS。恶意攻击者往 页面里插入恶意 HTML 代码，当用户浏览该页之时，嵌入其中 Web 里面的 HTML 代码会被执 … tst station

XSS ctfshow xss-libas Keyond

Webctfshow-重温命令执行; ctfshow-重温php特性; ctfshow-sql注入; ctfshow-重温反序列化; ctfshow-代码审计; ctfshow-phpcve; ctfshow-xss; ctfshow-nodejs; ctfshow-jwt; ctfshow-ssrf; ctfshow-ssti; ctfshow-xxe; ctfshow-黑盒测试; ctfshow-其他; ctfshow-中期测评; ctfshow-终极考核; ctfshow-大赛原题（未完） ctfshow ... WebAug 25, 2024 · username = 0;update`ctfshow_user`set`pass`=111;password=111提交两侧 Y4大佬做法如下 payload = "0x61646d696e;update`ctfshow_user`set`pass`=0x313131;" # 至于为什么非得用十六进制登录，是因为下面这个没有字符串单引号包围 sql = "select pass from ctfshow_user where username = {$username};"; 但是我还是理解不了这个包围，没 … WebNov 16, 2024 · 再用 c-jwt-cracker 梭一下，爆出来 key=12345（不过说实话我这里真没爆出来），再用 jwt.io 改一下 user 和 exp. 看到这种的框，直觉就是 sqli, xss, ssti；加上 jwt … tst steamheat