python自动点击小脚本
1234567891011121314151617181920212223242526272829import osimport timeimport pyautogui as pagtry: while True: print("Press Ctrl-C to end") screenWidth, screenHeight = pag.size() #获取屏幕的尺寸 print(screenWidth,screenHeight) x,y = pag.position() #获取当前鼠标的位置 posStr = "Position:" + str(x).rjust(4)+','+str(y).rjust(4) print(posStr) time.sleep(0.2) os.system('cls') #清楚屏幕except KeyboardInterrupt: ...
2023longjianbeiwp
没了tcp.flags.syn==1 and tcp.flags.ack==1 1234567891011121314151617181920212223242526 from Crypto.Cipher import AESimport zlibkey = b'748007e861908c03'hex_string = 'b5c1fadbb7e28da08572486d8e6933a84c5144463f178b352c5bda71cff4e8ffe919f0f115a528ebfc4a79b03aea0e31cb22d460ada998c7657d4d0f1be71ffa'byte_data = bytes.fromhex(hex_string) cipher = AES.new(key, AES.MODE_ECB)decrypted_data = cipher.decrypt(byte_data) s = zlib.decompress(decrypted_data,16 + zlib.MAX_WBITS)sa=...
2022Space Heroes CTF
webR2D2提示robot机器人,直接访问robots.txt即可 Space Traveler前端验证,直接右键源代码, 1var...
ctfweb刷题记录
[鹤城杯 2021]流量分析开局拿到一个流量包,是流量分析,经典老题, 一个一个数显然太慢了,抄的脚本, 123456789101112131415161718192021222324252627282930313233# strings timu.pcapng| grep flag > a.txt#在kali中,将带有flag的字符提出来import ref = open("D:\\vscodework\\ctf\\tjctf\\a.txt","rb")#读取a.txtst = f.read().decode("utf-8","ignore")##GET /ctf/Less-5/?id=1'%20and%20ascii(substr((select%20flag%20from%20t),1,1))=33--+ HTTP/1.1lis = re.findall(",([0-9]*),1\)\)=([0-9]*)",st)#获取 位数和字符数aa =...
第二届ParlooCTF应急响应挑战赛部分wp
123456789Parloo杯 应急响应附件请选手提前下载,正式开赛提供解压密码以及文档文件总大小:70g,请选手下载完成后自行验证 hash 值,确保文件完整性百度网盘https://pan.baidu.com/s/1otqDnpKTOEsPZQiWSE8ECg?pwd=6666 提取码: 6666 夸克网盘https://pan.quark.cn/s/46653bd06cca123云盘https://www.123865.com/s/qDVvjv-zVBod 提取码:6666 应急响应2-1 12人已解答 海底小纵队404notfoundflag签到就完事 题目描述 提交堡垒机中留下的flag amdin/Skills@2020,标签列表中即是 应急响应2-2 题目描述 提交WAF中隐藏的flag 分数 99.5 分 admin/VF6NXMs7 应急响应2-3 11人已解答 test404notfoundflag0x7c00 题目描述 提交Mysql中留下的flag http://192.168.20.101:20221/databases/mysql...
lab8-wp
第一天开环境的时候,不知道为什么,开完环境,啥也没有,果断一下分配的ip的端口,扫到两个,直接三板斧无果。 第二天又去开环境,开完有个cms,我勒个豆,感情昨天扫了俩小时,打歪了。 开局一个zzzcms 开始搜索zzzcms历史漏洞,看了几个文章,发现很乱,不知道哪个可以。先找简单的试一下。 首先肯定是弱口令,试了几个无果,找个文章 https://www.cnblogs.com/0daybug/p/12565986.html, 泄露config.php,/admin/?module=templateedit&type=/config/zzz_config.php 有数据库账号密码, 拿去连下,发现不行,做了限制,不允许的ip。这里也试了一下,不是admin的密码。那就只能换思路了。 又看到一篇大佬文章,https://www.laitimes.com/article/2t711_38slf.html,说存在注入,果断试一下。 12345678GET /search/ HTTP/1.1Host: 172.50.12.33User-Agent:...
ctfshow-ssti学习
SSTI是什么SSTI,服务端模板注入,其实也就是模板引擎+注入,那么我们首先需要了解一下模板引擎 模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格式的文档,利用模板引擎来生成前端的 HTML 代码,模板引擎会提供一套生成 HTML 代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 + 用户数据的前端 HTML 页面,然后反馈给浏览器,呈现在用户面前。 模板只是一种提供给程序来解析的一种语法,换句话说,模板是用于从数据(变量)到实际的视觉表现(HTML代码)这项工作的一种实现手段,而这种手段不论在前端还是后端都有应用。通俗点理解:拿到数据,塞到模板里,然后让渲染引擎将赛进去的东西生成 html 的文本,返回给浏览器,这样做的好处展示数据快,大大提升效率。 常见的模板引擎 123PHP: Smarty, Twig, BladeJAVA: JSP, FreeMarker, VelocityPython: Jinja2, django,...
CTFshow-第三届愚人杯web-wp
webeasy_signinhttps://ctf.show/challenges#easy_signin-3967 首先给到一个url http://f43e5622-a292-404c-98b5-85b54f0450d8.challenge.ctf.show/?img=ZmFjZS5wbmc= url后img为base64 ZmFjZS5wbmc= => face.png 那可以直接读取源码,index.php, index.php => aW5kZXgucGhw 右键查看源代码即可看到 pd9开头为<?php 直接解密即可 easy_flaskhttps://ctf.show/challenges#easy_flask-3971 打开题目连接是一个登录框,可以进行用户注册 可以参考这篇文章 https://blog.csdn.net/since_2020/article/details/119543172 随便一个用户注册,123/123登录上去,可以看到learn可以点击,查看到源代码 有一个app.secret_key =...