Confusion1

【网络安全 | XCTF】Confusion1

该题考察SSTI注入正文题目描述:某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)register的源码页面中存在flag路径可以看到网站存在SSTI漏洞构造POC尝试文件读取:{{"".__class__.__mro__[2].__subclasses__()[40]("/opt/flag_1
秋说·2023-12-30 08:30

xctf攻防世界 Web高手进阶区 Confusion1

1.直接进入场景,查看环境2.分析映入眼帘的是神马奇葩玩意?思考了一下,蟒蛇(Python)?大象(ElePHPant)?两个扭扯想说明啥?。。不懂打开控制台,看看有没有提示戳一戳链接,发现longin页面和register页面都有如下信息emmm,按时flag的位置?blue-whale是什么破玩意?点完后更加懵逼了,大胆猜测,需要审计源码,那么尝试.git漏洞,看能不能搞到源码,如图得,没戏,
l8947943·2023-12-17 19:04

【愚公系列】2023年05月 攻防世界-Web(Confusion1

文章目录前言一、Confusion11.题目2.答题前言SSTI漏洞(ServerSideTemplateInjection,服务端模板注入漏洞)是一种web应用程序中的安全漏洞,它允许攻击者通过在模板中注入恶意代码,执行服务器端的任意代码。模板通常用于web应用程序中的动态内容生成,这些模板经常包含逻辑控制语句和变量插入。攻击者可以利用模板中缺乏输入验证和过滤来注入任意的代码,从而实现任意代码执
愚公搬代码·2023-07-20 16:40

WEB:Confusion1

背景知识SSTI漏洞题目根据网站图片和题目描述的提示,大象是php,蟒蛇是python,说明了这个网站是用python写的在python中,比较常规的漏洞就是SSTI模板注入没有思路,先点login和register页面看看查看源代码之前猜测是ssti漏洞,先验证ssti常用注入__class__()返回对象的类__base__()/__mro__()返回类所继承的基类__subclasses__
sleepywin·2023-07-20 16:09

SSTI——java里的ssti

1.Velocity2.FreeMarker因为从来没接触过java语言所以对这些也是基本上一窍不通这里只简单的提及不做具体介绍会找一下题来做但是没有找到有关javassti的题目confusion1看一下描述打开题目没发现什么东西但是
呕...·2023-06-16 14:41

攻防世界 cat、Confusion1、lottery

cat进入环境让输入域名测试baidu.com无反应然后ping127.0.0.1有回显测试管道符拼接命令执行但是回显都是InvalidURLFUZZ测试以下发现只有@可以使用当输入@的时候会将@url编码为%40那我尝试输入一个十六进制值让这个十六进制值大于url编码范围看看会出现什么结果(url十进制范围0-127)出现了一些报错信息我们将这些html代码复制来看看发现了是Django的报错界
听门外雪花飞·2023-04-16 21:09

攻防世界web进阶区 Confusion1

攻防世界web进阶区Confusion1难度系数:四星题目来源:XCTF4th-QCTF-2018题目描述:某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。
f0njl·2022-12-06 16:53

yolov5训练结果解析

在每次训练之后,都会在runs-train文件夹下出现一下文件,如下图:一:weights包含best.pt(做detect时用这个)和last.pt(最后一次训练模型)二:confusion1:混淆矩阵
XiaoGShou·2022-10-08 17:32

【攻防世界WEB】难度四星12分进阶题:Confusion1

三、Confusion1解题方法:1、SSTI漏洞,构造payload过程:大象and蛇(确实帅)php+python想到了见过很多次的SSTI漏洞先到处逛逛(这个里面都是一些信息)login和register
黑色地带(崛起)·2022-07-24 07:07

yolov5 训练结果解析

在每次训练之后,都会在runs-train文件夹下出现一下文件,如下图:一:weights包含best.pt(做detect时用这个)和last.pt(最后一次训练模型)二:confusion1:混淆矩阵
Wiseym·2022-06-30 07:59

yolov5训练结果————分类指标的学习

一:weights包含best.pt(做detect时用这个)和last.pt(最后一次训练模型)二:confusion1:混淆矩阵:①:混淆矩阵是对分类问题的预测结果的总结。
永不言弃的小颖子·2022-06-27 07:48

yolov5 训练结果解析

在每次训练之后,都会在runs-train文件夹下出现一下文件,如下图:一:weights包含best.pt(做detect时用这个)和last.pt(最后一次训练模型)二:confusion1:混淆矩阵
高祥xiang·2022-04-14 16:19

攻防世界writeup

攻防世界confusion1第一次接触这样的漏洞,认真学习了一波0x00题目介绍打开是一个网站,有登陆注册功能,正中间还有一张图片(后来才知道代表phpvspython)但是点击登陆注册都显示404,就很迷了
飞鱼的企鹅·2020-08-05 19:25
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他