CTF·Web基础
Welcome to Web!
Pytorch
AI安全学习(1)
2025年度总结
Something_For_Nothing
DasCTF2025下半年赛
DASCTF 2025下半年赛|矩阵博弈,零度突围
极客大挑战2025 Web
极客大挑战2025复现
XSLeaks
XSLeaks拖了好久以至于我都忘了,刚好最近不知道学什么了就来回填个坑 前置参考文章: 引言 |XS-Leaks 维基 最有趣的前端旁路攻擊:XSLeaks(上) | Beyond XSS 跨站泄露 (XS-Leaks) - 安全 | MDN - MDN 文档 XSLeaks 技术利用-先知社区 nctf 2025 web wp - LamentXU - 博客园 NCTF2024/Web/internal_api at main · X1cT34m/NCTF2024 侧信道攻击要想理解XSLeaks,就先了解一下什么是 侧信道攻击(side-channel attack) ,也就是旁路攻击,顾名思义,就是旁敲侧击的知道信息,比如著名的灯泡问题,就是有两个房间,房间之间有门阻隔,然后你所在的房间有3个开关,可以随机开关,对面房间有3个灯泡,现在要求通过开关这几个开关,接着只有一次机会够进入另一个房间再回来,要求回来之后要回答这三个灯泡分别对应哪个,仔细想想,如果是两个灯泡的话,当然只需要开一个开关被可以知道分别对应什么了,但是三个灯泡呢? 我们可以先打开一个开关10分钟,然后关掉...
AI数据投毒
AI安全学习(2)
羊城杯2025Web 1345
羊城杯Web1345 wp我想说什么,但是也不懂说什么,那就不说了 ez_unserialize123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102<?phperror_reporting(0);highlight_file(__FILE__);class A { public $first; public $step; public $next; public function __construct() { $this->first = "继续加油!"; } public function start() { ...
2025湾区杯Web Wp
Web ez_python首先扫目录能出来个auth 然后访问可得token(eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imd1ZXN0Iiwicm9sZSI6InVzZXIifQ.karYCKLm5IhtINWMSZkSe1nYvrhyg5TgsrEm7VR1D0E) 直接伪造成admin 然后进行访问(控制台直接改),随便访问个python会给hint说key前几位,然后说后两位不知道需要爆破,那就直接写个脚本 12345678910111213141516171819202122232425262728293031323334import jwtimport stringimport itertoolstoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imd1ZXN0Iiwicm9sZSI6InVzZXIifQ.karYCKLm5IhtINWMSZkSe1nYvrhyg5TgsrEm7VR1D0E"# 密钥前缀key...
0xGame2025 Official Web
0xGame2025 Web
MoeCTF2025 Web
MoeCTF2025 Web Wp启动环境需要下载 WebSocket Reflector X 来映射到本地(西电CTF特供) 除了一些不喜欢的()都可以做 Week100 Web入门指北下载txt文件,说要在控制台输入,那就F12开控制台,输入后回车即可 01 第一章 神秘的手镯F12查看源码,可以发现有JS文件,打开发现flag 02 第二章 初识金曦玄轨查看源码,可以发现让我们查看 /gloden_trail,由提示可知查看请求包,则打开网络再刷新即可看见flag 03 第三章 问剑石!篡天改命!查看源码: 1234567891011121314151617181920212223242526272829303132<script> async function testTalent() { try { const response = await fetch('/test_talent?level=B', { ...
LilCTF2025 Web Wp&复现
LilCTF Web给学满一年的CTFer的CTF对我而言还是太超标了,全靠队友带飞,我会继续努力的(哭)(励志) (题目出的太好了) ez_bottle由题目这部分可知,需要我们上传zip文件,然后会检测文件内容,合格之后再进行解压 12345678910@post('/upload')def upload(): zip_file = request.files.get('file') if not zip_file or not zip_file.filename.endswith('.zip'): return 'Invalid file. Please upload a ZIP file.' if len(zip_file.file.read()) > MAX_FILE_SIZE: return 'File size exceeds 1MB. Please upload a smaller ZIP file.' ...