二向箔-百日打卡writeup 11-15

2024-02-24 01:40

本文主要是介绍二向箔-百日打卡writeup 11-15,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

NO.11

根据提示可以知道是未授权访问
在这里插入图片描述登录默认账号
在这里插入图片描述
跳转到这个页面,我先检查了一下按钮,发现都点不开,结果是发现<a>根本就没有写链接
在这里插入图片描述往下滑,看到只有三篇日记,点击More进去看看在这里插入图片描述一般日记都是一些私人敏感的事件,那么尝试去看4的日记
修改url:https://rimovni.exeye.run/ne/diary/4
在这里插入图片描述
得到flag

NO.12

这个提示也是非常明显了,就是测试xss无疑了
在这里插入图片描述直接测试<img src=x onerror=alert(1)>
在这里插入图片描述触发弹窗
在这里插入图片描述

NO.13

进入页面发现报403的错误
在这里插入图片描述这个时候就查看一下robots.txt文件,看是不是做了哪些策略
在这里插入图片描述清晰明了了,通过burp抓包,修改user-agent值
在这里插入图片描述得到flag

NO.14

又是未授权访问
在这里插入图片描述登录默认账号
直接访问日记
在这里插入图片描述修改url/x4,报错
在这里插入图片描述
返回到日记页面可以看到多了一个edit,直接点击访问

在这里插入图片描述再改url
在这里插入图片描述得到flag

NO.15

根据提示,我去网上搜索了一下有关于对rails应用程序授权漏洞原理及利用方法
在这里插入图片描述
但都是以失败告终,又看了下后面的.js and .json,这个页面又是个人信息,猜测名字邮箱性别都是调用js文件,但是查看源码也没发现能利用到的js文件,做了半天一点思路也没有。最后随手测试了一下去访问user.js和user.json,发现flag
在这里插入图片描述在这里插入图片描述这道题其实我的思路并没有错,个人信息确实是从js和json文件中调取。这个也算是一个未授权访问的漏洞。但我至今也没想明白它给的提示前半句话是啥意思。。。

这篇关于二向箔-百日打卡writeup 11-15的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/740559

相关文章

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

Adblock Plus官方规则Easylist China说明与反馈贴(2015.12.15)

-------------------------------特别说明--------------------------------------- 视频广告问题:因Adblock Plus的局限,存在以下现象,优酷、搜狐、17173黑屏并倒数;乐视、爱奇艺播放广告。因为这些视频网站的Flash播放器被植入了检测代码,而Adblock Plus无法修改播放器。 如需同时使用ads

15 组件的切换和对组件的data的使用

划重点 a 标签的使用事件修饰符组件的定义组件的切换:登录 / 注册 泡椒鱼头 :微辣 <!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><meta http-equiv="X-UA-

【CTF Web】BUUCTF Upload-Labs-Linux Pass-13 Writeup(文件上传+PHP+文件包含漏洞+PNG图片马)

Upload-Labs-Linux 1 点击部署靶机。 简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 注意 1.每一关没有固定的通关方法,大家不要自限思维! 2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路

代码随想录打卡Day25

今天一整天都在教研室做实验,没时间刷题,就做了一题,剩下的明天补 491.递增子序列 这道题目和之前的子集问题很像,但是有一点要注意的,这个输入的数组不能进行排序,所以就不能沿用之前的去重逻辑,这道题要去重还是得借助额外的变量来维护元素使用情况,但是这题的used为集合,且不能为全局变量,只能为树层遍历前定义的一个局部变量,除了这个改动以外,其他地方都是高度相似的。 class Soluti

T1打卡——mnist手写数字识别

🍨 本文为🔗365天深度学习训练营中的学习记录博客🍖 原作者:K同学啊 1.定义GPU import tensorflow as tfgpus=tf.config.list_physical_devices("GPU")if gpus:gpu0=gpus[0]tf.config.experimental.set_memort_groth(gpu0,True) #设置GPU现存用量按需

【代码随想录训练营第42期 续Day52打卡 - 图论Part3 - 卡码网 103. 水流问题 104. 建造最大岛屿

目录 一、做题心得 二、题目与题解 题目一:卡码网 103. 水流问题 题目链接 题解:DFS 题目二:卡码网 104. 建造最大岛屿 题目链接 题解:DFS  三、小结 一、做题心得 也是成功补上昨天的打卡了。 这里继续图论章节,还是选择使用 DFS 来解决这类搜索问题(单纯因为我更熟悉 DFS 一点),今天补卡的是水流问题和岛屿问题。个人感觉这一章节题对于刚

java基础总结15-面向对象11(抽象类)

下面通过一下的小程序深入理解抽象类 因此在类Animal里面只需要定义这个enjoy()方法就可以了,使用abstract关键字把enjoy()方法定义成一个抽象方法,定义如下:public abstract void enjoy();   从某种意义上来说,抽象方法就是被用来重写的,所以在父类声明的抽象方法一定要在子类里面重写。如果真的不想在子类里面重写这个方法,那么可以再在子类里

15年亚洲区长春站赛后总结

刷题打比赛的日子才叫青春   今年和ljy、lsj组队去长春站。这支队伍是我很放心的一支队伍,ljy可以做数学题和复杂思维题,lsj思维缜密可以和ljy对思路,我负责手速狗+模板暴力流。 有了去年两场亚洲区的经验,心态有了很大变化,也深知赛场上风云莫测,不至最后一分钟,仍未分胜负。开场的F题卡了很久,WA了很多发,这种复杂思维题丢给ljy和lsj搞了。我去开L题,给LJY说完题意后,他给