LilCTF2025 Writeup
LilCTF 2025 Writeup by Team Volcania_Rusty个人解出的题目 完整WP见https://bili33.top/posts/LilCTF2025-Writeup/ WebEkko Note数据库关系如下 通过这里的注释,可以猜到题目大概与random伪随机有关系,如果拿到seed,就可以预测random生成的随机值 1234# 欸我艹这两行代码测试用的忘记删了,欸算了都发布了,我们都在用力地活着,跟我的下班说去吧。# 反正整个程序没有一个地方用到random库。应该没有什么问题。import randomrandom.seed(SERVER_START_TIME) 题目提到的 RCE 相关代码 [email protected]('/execute_command', methods=['GET', 'POST'])@login_requireddef execute_command(): result =...
部署hexo个人博客并在github托管
部署hexo个人博客并在github托管git bash下操作 安装hexo 1npm install hexo-cli -g 生成博客 1234hexo init 初始化hexo g 生成hexo s 本地部署hexo d 部署到线上 github建立仓库 1用户名.github.io 要选Public和Add a README file 生成SSH密钥(RSA) 1ssh-keygen -t rsa -C "邮件地址" 密钥文件存储在C:\Users\用户名.ssh id_rsa.pub存储的是公钥 测试是否成功 1ssh -T [email protected] 安装hexo自动部署工具 1npm install hexo-deployer-git --save 修改_config.yml 123type: gitrepository: 填入你的github仓库链接branch: main 第一次上传要配置email和用户名,用户名要区分大小写 12git config --global user.email...
2025 D^3CTF个人web方向wp题解
2025 D^3CTF个人web方向wp题解d3invitation信息搜集题目容器显示有一个minio存储桶,一开始先测试了Minio的未授权信息泄露CVE,无果,遂继续抓包分析,并将static/js/tools.js丢给AI分析了一下,发现总共就三个接口:/api/genSTSCreds,/api/getObject,/api/putObject /api/genSTSCreds 接口可以获取STS凭证 12345678910111213POST /api/genSTSCreds HTTP/1.1Host: 34.150.83.54:31668Content-Length: 26Accept-Language: zh-CN,zh;q=0.9User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36Content-Type: application/jsonAccept:...