LoRexxar's Blog

sangebaimao之招聘又开始了,你怕了吗?

招聘又开始了,又要被火日师傅虐了,运气不错,赶在考试期间还把题目做出来了,遇到了特别神秘的参数污染,还是ll大法无敌… md5碰撞?这个类似于验证码的东西已经用了很久了,不知道最早是不是火日师傅出的,但是没想到还有人不知道怎么过这个验证码,就把脚本贴上来吧。 12345678910111213141516171819import randomimport hashlibdef crack_code(code): str = 10000 while 1: m2 = hashlib.md5() m2.update(repr(str)) if (m2.hexdigest()[0:...

alictf2016_web_writeup

感觉时间总算是转了一年,去年也大概是alictf才开始能做出签到题目以外的题目,今年强撸了一波alictf,不得不说,又遇到蓝莲花+0ops出题,web真的难度很高,比较蛋疼的是homework,说实话是一道想法很好很好的题目,但是强行和asis有区别,写了实战情况不合的权限….不管怎么说还是学了很多东西,整理下wp… find password题目其实挺蛋疼的,本来是简单的登陆盲注,但是却写了很多奇怪的过滤,导致写脚本的时候各种出问题,花了很长时间改,不过用了以前的通用脚本还是感觉不错的,在sqlmap不能用的情况,还是可以用,结尾贴github链接 先说题目,在login的时候有一...