weixin_59166557的博客

原创 A5rZ 的PGP公钥

你可以根据此公钥判断文章或消息是否来自A5rZ。

原创 sekai 2025 Notebook Viewer

CTF题目名称 Notebook Vieweradmin bot${SITE${FLAGframe.html</*,*::before,*::aftermargin;padding;box-sizing;;font-size;;</</// 获取当前页面的URL对象letnewURL;// 获取URL参数中的note字段constget"note";// 获取页面中id为note的元素const'#note';if// 如果note参数存在，则将其内容显示在页面上;else。

原创 hintcon2025 Verilog OJ

iverilog编译） ->中间字节码judge) ->vvp仿真执行） ->输出结果/波形+----------------+ 编译 +-------------+ 执行 +---------------------------------+所以，iverilog和vvpiverilog是前端，负责语法和逻辑分析。vvp是后端，负责模拟电路在时间维度上的实际行为。这种将编译和运行分开的架构非常灵活，编译一次（可能很耗时）后，可以多次快速运行仿真，并且vvp还可以被其他工具调用。

原创 hintcon2025 Pholyglot!

通配符的优先顺序按照ASCII码排序,但是我们即使利用通配符也无法利用三个字符将内容写进四个字符的文件名里。或者说现在可用利用通配符顶替一个参数的位置,剩下两个字符可用,还有那些可执行文件可像ls这样利用吗?~~sh似乎可行，但是写入的文件有大量垃圾数据,我怎么写入数据才能让其sh时候正常执行?#任意命令执行 #php #sqllite #sql注入 #字符数限制。~~/bin/rm -rf 遇到特殊文件名会发生漏洞吗？开头的文件,如果按照此方法我们只能之星三个字符的命令。FQEF 拼了好几小时不想拼了。

原创 hintcon2025 Note

web。

原创 hintcon2025No Man‘s Echo

web代码如下我们先搭建容器并尝试查看所有容器内占用的端口容器内监听端口:TCP 127.0.0.11:36667（Docker 内置解析相关，LISTEN）UDP 127.0.0.11:50180（Docker 内置解析相关）dockerfile这个-d FOREGROUND 参数代表着什么?我们能向任何端口发送任意数据服务器让我们返回一个有如下字段的json {“signal”:“Arrival”,“logogram”:“php_code”}80/36667/50180端口可利用吗?

原创 hintcon2025 IMGC0NV

管道（Pipe），在 Linux 和类 Unix 系统中，是一种非常强大的**进程间通信（IPC）**机制。将一个命令（进程）的标准输出（stdout）直接连接到另一个命令（进程）的标准输入（stdin）。它使用竖线符号来表示。管道是 Linux“一切皆文件”和“小工具，大协作”哲学思想的完美体现。在深入之前，必须理解文件描述符是什么。在 Linux/Unix 哲学中，“一切皆文件”。真正的磁盘文件目录硬件设备（如键盘、鼠标、硬盘）网络套接字管道 (pipes)

原创 JSONP 回调函数注入 -- idekctf 2025 jnotes

机器人逻辑如下index.jsnotes.ejsview.js。

原创 悬空标记攻击 -- idekctf 2025 CTFinder

generate_key 只取前128位,且其时间单位最小是秒,这给了我们利用条件竞争的机会，让两个有效负载命中同一个缓存键来绕过waf。但是如果我们注入具有相同元素 ID 的链接，机器人会点击我们的链接，重定向到我们想要的任何地方。Transport Type 选择 STDIO 的时观察到前端发送的参数被当作命令执行了。让更多的内容被认为是message user，包括那个按钮的属性！远程靶机并不开放此端口，看来下一步我们需要想办法访问此端口。bot运行在5010,接下来寻找调用此端口服务的地方。

原创 json 特性 -- justctf 2025 Ticket Master

'section''''seat'首先其需求一个json我们没有key,所以唯一合法的票证是传递空票接下来程序利用这些数据生成图形化票证type。

原创 css leak 利用完整性校验 -- justctf 2025 Notes

【代码】css leak 利用完整性校验 -- justctf 2025 Notes。

原创 css leak -- justctf 2025 Simple Tasks

是 CSS 中用于存储可重用值的强大工具，语法简洁且功能灵活。

原创 原型污染 -- justctf 2025 Positive Players

会自动向上寻找并污染原型链,接下来我们用toString身份登录获取flag的时候形成如下语句。只要我们不提供密码,我们就能将原型链上的任何键作为用户名登录。但是实际上我们根本不需要这些属性访问原型链。当我们以普通用户登录合并时。题目并没有过滤用户名。

原创 缓存投毒进阶 -- justctf 2025 Busy Traffic

缓存键仅由 HTTP 方法、主机名和路径组成，默认情况下甚至不包括查询参数缓存键完全忽略了 Range 请求头，这意味着具有不同/没有 Range 的请求会命中相同的缓存条目。如果服务器后端没有正确处理host头,缓存中毒有可能使得攻击者凭空捏造出内部内部可访问的url(我们只需想办法配合题目不缓存参数的错误从服务器上凑齐如下“ROP”的方法即可。服务器使用了此插件，插件存在默认不安全行为，忽略查询参数作为缓存判断的关键。我们还可以利用这一点使得不同的路径返回同一文件的不同部分。

原创 xss利用搜索侧信道 -- GPN CTF 2025 smile-at-me

仔细观察,我们能注意到机器人端（NodeJS URL / Puppeteer）再解析一次同一个 URL 才真正发请求。这两套解析器并不完全一致，出现了解析差异的可能（parser differential）。只有滚动到可视区域的图片才会真的发出 HTTP 请求。我们把自己的 webhook 图片放在离顶部很远的位置；只有当浏览器因为 STTF 滚动到这一行时才会触发请求。浏览器访问 URL#:~:text=<要搜索的字符串> 时，会在页面加载完毕后自动滚动到第一个匹配的位置。对域名的校验逻辑如下。

原创 Puppeteer 相关漏洞-- Google 2025 Sourceless

题目的代码非常简单,核心只有这一句。

原创 python 原型污染 perl符号表污染 -- Google 2025 MYTHOS

题目实现了一个Game,分为前后端。

原创 js 允许生成特殊的变量名 基于字符集编码混淆的 XSS 绕过漏洞 -- Google 2025 Lost In Transliteration

题目实现了一个字符转换工具在/file路由用户可以通过 ct 参数自定义 Content-Type当 HTTP 响应头或 Content-Type 指定了 charset=x-Chinese-CNS，浏览器会用 CNS 11643 这个字符集来解码响应体的字节流。CNS 11643 是一种多字节编码，很多单字节（如常见的 ASCII 范围）在 CNS 11643 下会被解码为完全不同的字符，甚至是不可见字符或特殊符号。

原创 JS Hook -- Google CTF JS Safe 6.0

但是你应该能注意到,如果找不到第一个字符,就不会进入下一层,我们可以尝试hook来判断是否进入下一层。如果你尝试过单独提取加密逻辑,就会发现其核心加密逻辑中的 .step 受到代码其他部分多处影响。* @param {string} s - 需要加密的字符串。* @returns {string} 加密后的字符串。此题目的目的是寻找密码，题目拥有极端的反调试。// ROT47加密变后拆为数组。// 移除flag数组左侧第一项。// 线性同余生成器。// 移除右侧第一项。// 全部为空则成功。

原创 yaml 导致的原型污染 -- GPN CTF 2025 Secure by Default

不难注意到,题目有一个危险的中间件,我们可以污染此处的unsafe运行我们加载任意函数。

原创 GraphQL注入 -- GPN CTF 2025 Real Christmas

服务器会每段时间禁用已注册的账号,此处存在漏洞服务器后端拥有一个提升权限的功能由此写出。

原创 使用CSS泄露标签属性值 url路径遍历攻击 -- GPN CTF 2025 PAINting Dice

ai向我描述了一种攻击方式，CSS选择器攻击,但是在本挑战中由于作用域的问题无法使用。将data-csrf转换为颜色，当管理员访问页面并截图时，攻击者从截图中提取颜色值。adminbot 存在一个漏洞profileId可以为任意内容。我立刻意识到可能可以控制特定参数造成xss,或削弱xss防御。管理员bot拼接url路径时未过滤。我们的目标是获得admin权限。这允许我们进行url路径回退。

原创 xss利用meta强制跳转 CPS report-uri 报错泄露利用 -- GPN CTF 2025 Free Parking Network 1 2

在此题目中,我们可以指定html与标头alert1</服务器会返回如下内容</</</alert1</</</我们发现返回中存在一个严格的标签使得我们无法执行继续查看发现此标签来自这段代码${${${如果用户拥有damin权限则不会有此限制flag在flag网站中，但是此网站是未被批准的此处还存在类似模板注入的漏洞。题目中存在一个明显的漏洞,导致任何人都可以是admin。

原创 xs-leak 使用链接访问后显示不同颜色的特性 -- smileyCTF Sculpture Teemo‘s Secret

是一种利用浏览器特性来探测用户访问历史记录的隐私泄露漏洞。由此可以得出此题目的解决方案,即重叠n个flag提取其颜色细微差别。在此挑战中,我们可以使用特殊字符。CSS 历史泄露漏洞（也称为。将多个样式重叠并显示为不同颜色。

原创 xss 浏览器插件绕过 -- smileyCTF Extension Mania

可以从URL中提取protocol、host、hostname、port、pathname、search和hash等部分。提供了params()、updateSearch()、setQueryParam()等方法来操作URL参数。使用正则表达式验证URL格式：/^([a-zA-Z]+://)重定向URL包含被阻止的hostname和阻止原因作为参数。// 注意：此URL格式包含凭据信息，可能存在安全风险。// 3秒后重定向当前页面到特殊格式URL。// 打开新窗口/标签页访问指定URL。

原创 Skulpt 导致的 xss -- smileyCTF Sculpture Revenge

此处的值取决于用户的host头,如果题目可以出网,可以将flag导向任意网站。题目使用Skulpt,既然目的是xss,我们问问ai这个库能不能操纵html。但是很遗憾,远程不允许我们这么做,但是html似乎是不安全的。我在比赛中发现了一个本地有效的方法,但是远程无效。

原创 H&NCTF 2025 Just Ping Write-up

本文分析了Go Web应用的路由实现和两个API处理逻辑。路由部分注册了/api/ping和/api/testDevelopApi两个接口，并设置了静态文件服务。PingHandler实现了网络连通性测试功能，支持跨平台ping命令执行和实时输出流式返回。DevelopmentHandler提供了开发环境命令执行功能，采用对象池优化内存分配，支持带引号的参数解析。两个处理器都包含完善的参数校验和错误处理机制，体现了安全性和性能优化的设计考虑。

原创 2025京麒CTF挑战赛 计算器 WriteUP

摘要： 题目为一个基于WebSocket的CTF计算器挑战，要求输入密码解锁自定义表达式功能。通过分析通信流量，发现关键MD5哈希值解密为app.py。尝试绕过密码限制直接篡改表达式（如将1+1改为1+2）成功获取结果，但表达式长度超过3个字符时会触发Protobuf反序列化错误。后续尝试通过伪造Protobuf消息结构绕过限制，需进一步解码原始通信中的十六进制数据以构造有效载荷。 关键词： WebSocket、Protobuf伪造、MD5解密、表达式注入

原创 利用basee64特性 -- BYUCTF 2025 JWTF

本文介绍了一个使用Flask框架实现的JWT（JSON Web Token）吊销列表（JRL）系统。由于一个JWT被攻击者泄露，系统通过JRL确保该令牌无法再被使用。代码中，Flask应用生成了两个密钥：一个用于应用，另一个用于管理员。JRL存储了被吊销的JWT令牌。应用提供了多个路由，包括根路由、获取管理员cookie的路由、获取标志信息的路由以及获取JRL的路由。在获取标志信息时，系统会检查请求中的JWT是否在JRL中，并验证其管理员权限。文章还详细解释了JWT的结构，包括头部、载荷和签名部分，并展示了

原创 CSRF攻击 + 观测iframe加载时间利用时间响应差异侧信道攻击 -- reelfreaks DefCamp 2024

该题目涉及一个视频网站，其中被禁视频的flag值只能由管理员查看。通过分析代码，发现可以利用URL构造和响应时间测量来破解flag。具体方法是通过构造特定的URL，利用iframe加载时间延迟来推测flag的字符

原创 谷歌曾经的开放重定向漏洞(如今已经修复) -- noogle DefCamp 2024

未发现题目任何交互,但是存在一个加密jsjs反混淆 - dejs.vip[网页]报告 Google Wargames.my CTF 2023 - vicevirus’ Blog是一个有效的 Google 重定向链接，点击后会直接将用户跳转至 。该链接在域名 和路径 后包含以下参数：sa=turl=http://example.org/usg=AOvVaw1YigBkNF7L7D2x2Fl532mA[Defcamp Quals 2024] [WEB – Noogle]

原创 js原型污染 + xss劫持base -- no-code b01lersctf 2025

HTML 标签解析 是 HTML 的根路径定义标签，主要用于：

原创 利用python的pth文件从任意文件写入到任意代码执行-- musicplayer b01lersctf 2025

目标是任意代码执行我们似乎可以尝试路径穿越?没时间了放弃 -----------------------------------------------------------------------赛后 ------------------------------------------------------------------------------------在此处存在目录穿越使得我们可以覆盖任意文件python有一个特殊的 .pht 文件。

原创 两次解析格式化字符串 + 使用SQLAlchemy的relationship执行任意命令 -- link-shortener b01lersCTF 2025

我们可以用一个 「仓库管理员」 的比喻，来形象地理解 SQLAlchemy ORM：你有一个巨大的仓库（数据库），里面堆满了各种货物（数据）。仓库的货架结构复杂，每个货架对应一张表格（数据库表），比如「图书货架」「用户货架」等。传统方式中，如果你想存取货物，必须手动填写复杂的单据（写SQL语句），比如：但有了 SQLAlchemy ORM，仓库里会出现一个聪明的 「机器人管理员」，它帮你把仓库的复杂结构翻译成你熟悉的 Python 对象和代码！用Python类定义货架结构：你不再需要记住货架的复杂布局，

原创 利用Elixir中的原子特性 + 错误消息泄露 -- Atom Bomb

b01lers-ctf-2025-public/src/web/atombomb/solve at main · b01lers/b01lers-ctf-2025-public · GitHub名称即值原子的值就是它的名字，例如 、、。不需要额外的赋值操作。常量且高效原子在内存中以唯一的形式存储（通过原子表），多次使用同一个原子不会重复占用内存。例如，无论使用多少次 ，内存中只有一份。语法形式模式匹配与函数返回值函数常用 / 表示操作结果。作为标识符用于标识选项或配置，例如：模块名称模块名本质

原创 欺骗单页应用（SPA）渲染隐藏路由 -- trouble at the spa b01lersCTF

放弃 ------------------------------------------------------------------------------------------------------------所有逻辑（路由、数据获取、渲染）均在浏览器中运行，只需加载一次。访问 /flag 返回 404 , 根据题目，我不可能修改服务器端代码，接下来我怎么访问 /flag？依赖现代前端框架（React、Vue、Angular）及工具链（Webpack、Vite）。是浏览器原生事件，通常在。

原创 高中生手把手带你入门内核pwn -- QWB2018-core wp

内核态像餐厅后厨，拥有最高权限但风险集中；用户态像用餐区，方便但受限。两者通过“服务员”（系统调用）协作，兼顾安全与效率。那我们如何从内核态中返回呢。

原创 目录穿越 + 代码注入-- ACTF 2025 upload

如此一来uwsgi.ini还会生效吗？服务器会在所有文件前方附加一些东西。找个网站解密一下密码。

原创 利用内联注解析释差异构造多语言sql注入 -- b01lers CTF defense-in-depth

还有个提示 Credit to WolvSec team I take (borrow) this from them in their nearest CTF 一会我们卡住了再来看看。看起来我们得构造sqllite,和mysql都能运行的语句。这个语句通过了sqllite,但是在mysql中错误。这里应该可以时间盲注,一会行不通可以试试。信任了 X-Forwarded-For。我们似乎可以构造,内联注释？接下来我得想办法构建一个新的。开个容器运行mysql。

原创 可预测的随机逻辑 -- b01lers CTF when wp