Damn1t's Blog

hack the box邀请码获取和web challengehack the box邀请码获取在invite code页面输入，makeInvitecode，显示：1ƒ makeInviteCode(){$.ajax({type:"POST",dataType:"json",url:'/api/invite/how/to/generate',success:function(response){console.log(response)},error:function(response){console.log(response)} ...

XSS Challenges平台地址： https://xss-quiz.int21h.jp 11<script>alert(document.domain)</script> 21"><script>alert(document.domain)</script>< 3当在search框输入的时候，发现对<和>进行了编码，所以将注意点转入到右边选择框，利用右键检查元素，将japan改为1<script>alert(document.domain)</script> 41"><script ...

SP: leopold 靶机渗透描述： Flags/root/flag.txt/home/leopold/flag.txtTested with VirtualBoxDHCPDifficulty: BeginnerThe machines are in the intermediate difficulty range. None of them should be as easy as to just run a msf module to get root right away, if so please let me know. They all have two flags, one ...

starctf2019mywebsqladmin admin弱口令登入，网上搜索，关于mywebsql的cve，找到了一个rce，按照他的步骤，生成一个shell，蚁剑连接，将同名目录下的readflag下载下来，实在没啥思路，之后参考了师傅的blog 运行readflag文件：/readflag,会出现： Solve the easy challenge first(((((886366)-(-362092))+(188748))-(-638404))-(-286590))input your answer: calculate error! 然后闪退在/backups目录下新建一个sh ...

python常见问题Python2和3中 ‘ascii’ codec can’t decode byte 0xe4 in position 0: ordinal not in range(128)python2Python在进行编码方式之间的转换时，会将 unicode 作为“中间编码”，但 unicode 最大只有128那么长，所以这里当尝试将 ascii 编码字符串转换成”中间编码” unicode 时由于超出了其范围，就报出了如上错误。将Python的默认编码方式修改为utf-8即可，在py文件开头加入以下代码：123import sysreload(sys) sys.setdefaul ...

git基本使用利用git上传文件在GitHub上新建respository复制git地址到本地想要上传的项目文件中，将项目文件复制到新建的文件中 git clone [url] 将文件添加进respository中：git add .添加分支信息：git commit -m "自定义信息"上传：git push -u origin master

plaidctf2019Triggered（web）首页的一段话提示了一点，要试图登录admin角色，页面功能分为登录，注册，先注册随意账号并登陆：有查询和添加主题两个功能，尝试了一下，new note没法xss，所以可能就是查询了，以admin的身份进行flag查询分析代码，服了，存sql写的，pl/pgsql(以postgresql支持) 关注登录过程：用户：123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960------ ...

DDCTF2019web滴~还是要有耐心啊，这次做题由于感觉像吃了屎一样，所以索性就没做了，并且精力有限。 这题打开链接，给出了一张图片（这图成功成为了又一个表情包）注意地址栏，参数jpg后面跟了一串字符串，猜测base64，经过一番尝试，发现编码规则是将源文件名转为hex，再进行两次base64编码，于是尝试读取源码 利用python进行编码：1str(base64.b64encode(base64.b64encode(('index.php'.encode('ascii')).hex().encode('utf-8'))),'utf-8') 拿到源码： 123456789101112131 ...

Ubuntu升级python3.7步骤下载源码 wget https://www.python.org/ftp/python/3.7.3/Python-3.7.3.tgz 解压源码 tar -xvzf Python-3.7.3.tgz 进入目录 cd Python-3.7.3 配置安装路径 ./configure --with-ssl --prefix=/usr/local/python3 安装python3.7.1依赖 #sudo apt-get update #sudo apt-get upgrade #sudo apt-get dist-upgrade sudo apt-get inst ...

acid server靶机渗透虚拟机地址：https://download.vulnhub.com/acid/Acid.rar 信息搜集开启acid，不用登陆，已启用服务 靶机描述： The named of the Virtual machine is “Acid Server”. This Virtual Machine is completely web based. I have added little new concept here and hope people will enjoy solving this.You need to extract the rar and r ...