当前位置: 首页 > article >正文

【wp】2023第七届HECTF信息安全挑战赛 Web

article 2024/11/14 5:28:05

伪装者

考点:http协议+flask的session伪造+ssrf读取文件

 首先根据题目要求就行伪造HTTP

这里不多说,比较基础 然后下面得到是个登入 页面,我们输入zxk1ing

得到 说什么要白马王子 ,一眼session伪造

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

看到ey开头感觉是jwt 输入看看

得到key 那就直接flask session伪造就行

然后我们就得到 flag在这个路径下 试了下伪协议读取无果,发现有个url读取

测试一下ssrf读取 成功获得flag 


http://www.kler.cn/a/134405.html

相关文章:

  • 网页版五子棋——对战模块(服务器端开发②)
  • Kubernetes在容器编排中的应用
  • 【vue2.0入门】vue单文件组件
  • mysql 实现分库分表之 --- 基于 MyCAT 的分片策略详解
  • 在C++上实现反射用法
  • Docker无缝更新Zentao
  • 什么是Selenium?如何使用Selenium进行自动化测试?
  • 初刷leetcode题目(4)——数据结构与算法
  • C# Array和ArrayList有什么区别
  • WPF拖拽相关的类
  • 详解Java设计模式之职责链模式
  • S7-1200PLC 作为MODBUSTCP服务器通信(多客户端访问)
  • Web安全研究(五)
  • python中Thread实现多线程任务
  • iTerm2+oh-my-zsh搭个Mac电脑上好用好看终端
  • Zotero在word中插入参考文献
  • 队列和微服务的异步通信
  • Python选择排序和冒泡排序算法
  • linux基础:4:gdb的使用
  • 保姆级 | Nginx编译安装
  • golang学习笔记——条件表达式
  • 【Dubbo】Dubbo负载均衡实现解析
  • nodejs微信小程序-实验室上机管理系统的设计与实现-安卓-python-PHP-计算机毕业设计
  • 2023数维杯国际赛数学建模竞赛选题建议及B题思路讲解
  • Linux本地docker一键部署traefik+内网穿透工具实现远程访问Web UI管理界面
  • OpenAI 地震!首席执行官被解雇,背后的原因是?