16届蓝桥杯备赛
关注
分享
扫一扫
文章平均质量分 96
恃宠而骄的佩奇
网络安全初学者
展开
-
蓝桥杯-网络安全 做题备战第五天(Web方向)
a=__class__&b=__mro__&c=__subclasses__(python3这里的2要变成1)#QLite 没有 sleep() 函数,但是有个 randomblob(N) 函数,其作用是返回一个 N 字节长的包含伪随机字节的 BLOG。这里存在一个字符串会和我们传入的参数进行拼接,一旦拼接,app.js就无法绕过。如果出现了两个,才是python3。原创 2024-11-07 23:06:37 · 1218 阅读 · 0 评论 -
蓝桥杯-网络安全 做题备战第四天(Web方向)
我们可以查看robots.txt,然后尝试访问.git文件这题的目标应该是利用某些漏洞来赢得足够的奖金 弱类型比较绕过 所以我们可以抓包将上传的数字修改为true从而绕过成功绕过并获取了奖金 相关函数发现有一段测试代码(应该是解题的重点) 拼接strpos利用assert命令执行#注释发现是一个Bad Request在控制台中调试发现p的值是一直不变的十六进制转字符串转ascii码flag XCTF-fakeboo原创 2024-11-06 22:58:53 · 1624 阅读 · 0 评论 -
蓝桥杯-网络安全 做题备战第三天(Web方向)
蓝桥杯-网络安全(Web方向)原创 2024-11-05 23:14:48 · 1651 阅读 · 0 评论 -
蓝桥杯-网络安全 做题备战第二天(Web方向)
蓝桥杯-网络安全 做题备战第二天(Web方向)原创 2024-11-04 21:59:25 · 1297 阅读 · 0 评论 -
蓝桥杯-网络安全 做题备战第一天(Web方向)
分析一下代码的调用链得到结论 解题思路使用到的绕过技巧 字符串转八进制的python脚本XCTF-file_include(php伪协议)打开题目就是一个文件包含类,可以尝试伪协议读取文件 发现前两种都没有反应,最后一种提示了do not hack这里提供常见的编码方式 将扫描结果按长度排序,得到flag首先我们先定位flag的位置(发现当$key1和$key2都为真会打印我们的flag)先来看$key1这里要将a转化为整型原创 2024-11-03 19:44:19 · 1238 阅读 · 0 评论