seora's blog^^

LitCTF 2026 全方向wpmisc[LitCTF2026] lit_lsb_base64直接说了lsb隐写用随波逐流看各通道隐写信息对隐写数据base64解码 [LitCTF2026] lit_rush_qr帧提取出残缺的二维码可以看出二维码缺少定位符使用在线工具补齐二维码 [LitCTF2026] lit_sstvsstv在线解码工具 https://sstv-decoder.mathieurenaud.fr/ flag: LitCTF{sstv_p4t13nc3} [LitCTF2026] lit_welcome图片背景是纯白，用pixpix简单过一下发现像素全是（255，255，255）有的是(254，255，255) R 通道最低位 LSB 被改了，看0通道隐写数据。 [LitCTF2026] lit_pyjail_reader题目附件 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585 ...

未读

[NSSRound#6 Team] 题目复现

发表于2026-05-242026-05-24

[NSSRound#6 Team] 题目复现[NSSRound#6 Team]check访问题目给出了源码，后端服务器是用 Python (Flask)运行的 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273# -*- coding: utf-8 -*-from flask import Flask, requestimport tarfileimport osapp = Flask(__name__)app.config['UPLOAD_FOLDER'] = './uploads'app.config['MAX_CONTENT_LENGTH'] = 100 * 1024ALLOWED_EXTENSIONS = set(['tar'])def allowed_file(filename ...

未读

NSS刷题记录 [BCACTF 2024]Static

发表于2026-05-082026-05-08 NSSCTF 隐写

NSS刷题记录 [BCACTF 2024]Staticn久没更新过了复建一下传新MP4隐写方式。题目描述给了一串MD5值。给了一个mp4附件。 1exiftool static.mp4 找一下详细信息。发现encoder字段是一个网址，其中提供了一个包含StaticMaker的文档 1234567891011The StaticMaker ™ utility converts any binary file into a video, suitable for use in … some application somewhere, probably.The default configuration is width=256, height=256.The program works by:1. Compressing the data2. Padding to a size that is a multiple of (6*width*height) bits3. Splitting the data into “subframes” of size (2*width*h ...

未读

polarCTFweb刷题记录(简单)02

发表于2025-12-142025-12-14

polarCTFweb刷题记录(简单)02SSTI直接用焚靖cat /flag 签到题查看网页源代码：抓包发现cookie一行有关键词相关，修改no为yes,然后Base64解码切换路由。得到源代码： 123456789<?php error_reporting(0); $file = $_GET['file']; if(!isset($file)) $file = '1'; $file = str_replace('../', '', $file); include_once($file.".php"); highlight_file(__FILE__);?> 1.需要传入GET型参数file 2.把file中的../替换为空 3.把file参数当作php文件执行 1?file=php://filter/convert.base64-encode/resource=..././..././..././..././f ...

未读

polarCTFweb刷题记录(简单)

发表于2025-12-142025-12-14

polarCTFweb刷题记录(简单)总算是把简单题刷完了。 PHP是世界上最好的语言123456789101112131415161718192021<?php//flag in $flaghighlight_file(__FILE__);include("flag.php");$c=$_POST['sys'];$key1 = 0;$key2 = 0;if(isset($_GET['flag1']) || isset($_GET['flag2']) || isset($_POST['flag1']) || isset($_POST['flag2'])) { die("nonononono");}@parse_str($_SERVER['QUERY_STRING']);extract($_POST);if($flag1 == '8gen1' && $flag2 ...

未读

记录一种文件上传的绕过方法

发表于2025-12-112025-12-11

记录一种文件上传的绕过方法刷polarctf遇到的一道题目。考虑使用 .htaccess 触发解析执行。但是传入的jpg文件不能有<?，使用<script language="php">php代码</script>上传成功后也不能蚁剑连接。原因应该是php7以上的版本，不能这么使用php标签头。使用的方法是修改.htaccess配置文件，以用后门读取base64 1234.htaccess文件：AddType application/x-httpd-php .jpgphp_value auto_append_fi\le "php://filter/convert.base64-decode/resource=shell.jpg" 之后再上传图片码就可以正常连接。

未读

[ISITDTU 2019]EasyPHP

发表于2025-11-102025-11-10

[ISITDTU 2019]EasyPHP并非easy。 12345678910111213<?phphighlight_file(__FILE__);$_ = @$_GET['_'];if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) die('rosé will not do it');if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd ) die('you are so close, omg');eval($_);?> 只要绕过两个if就可以实现rce。先看第一个正则匹配， 1preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) 这个正则匹配的字符包括：控制字符：ASCII 0～31 ...

未读

NSSRound#7

发表于2025-11-072025-11-07

【更新中】[NSSRound#7 Team]web[NSSRound#7 Team]ec_RCE直接扫描目录得到DS_Store，进去会发现能看到Ns_SCtF.php。源码: 1234567891011<?PHPif(!isset($_POST["action"]) && !isset($_POST["data"])) show_source(__FILE__); putenv('LANG=zh_TW.utf8'); $action = $_POST["action"];$data = "'".$_POST["data"]."'"; $output = shell_exec("/var/packages/Java8/target/j2sdk-image/bin/java -jar jar/NCHU.jar $action $data");echo $output; ...

未读

[BJDCTF 2020]easy_md5

发表于2025-11-062025-11-06

[BJDCTF 2020]easy_md5因为前不久刚做过一个让传特殊md5字符串的题，这道第一关直接随便传了个ffifdyop交完flag习惯性看了wp发现传参数是有依据的。这里注意到请求包响应头有一个hint，有个select查询语句 1select * from ‘admin’ where password =md5($pass,ture) 了解一下md5函数的用法， md5 — 计算字符串的 MD5 散列值。 md5(string$string, bool $binary = false): string 使用 MD5 消息摘要算法计算 string 的 MD5 散列值，并返回该散列值。 string 要计算的字符串。 binary 如果可选的 binary 被设置为 **true**，那么 md5 摘要将以 16 字符长度的原始二进制格式返回。那我们需要输入password的md5值，这也就用到我们之前了解到的万能密码ffifdtop 它经过md5加密后：276f722736c95d99e921722cf9ed621c 再转换为字符串：’or’6&l ...

未读

[NSSCTF Round #13]部分题目复现

发表于2025-11-042025-11-05

[NSSCTF Round #13]部分题目复现拖了n久的产物，还有一道TimeTrcer暂时没写没后续补上。 [NSSRound#13 Basic]flask?jwt?每个功能点进去看下，发现重置密码这里有hint, 1th3f1askisfunny Flask 通常指的是 Python 的一个轻量级 Web 框架，用来快速构建网站或接口。在安全或 CTF 环境中，说“Flask题”“flask相关漏洞”一般是指： Jinja2 模板注入（SSTI） Flask 默认使用 Jinja2 作为模板引擎，如果开发者写了诸如： 1render_template_string("Hello " + request.args.get('name')) 就会导致用户可控输入被直接当成模板渲染，从而造成 Server-Side Template Injection（SSTI）。攻击者可以利用它执行任意 Python 代码（比如 {{ config.__class__.__init__.__globals__['os'].po ...