Zenn
🦁

ctf4b 2023 begginers

2023/09/02に公開
Web
CTF
tech

web

forbidden

flagのエンドポイントを直接叩くとダメだが大文字のFLAGにすると通る

aiwaf

[:50]で区切られているので余計な文字列を先頭につけてdirectory traversalするだけ

phisher2

<h1 hidden>http://evil.com</h1> <h1>http://phisher2.com..</h1>

でいける

double check

HS256で好きなjwtを作れる
json = '{"username":"admin","__proto__":{"admin":true}}'
prototype pollution

misc

polyglot4b

vimでsushi.jpgを開く

vim -b sushi.jpg

:%!xxdでバイナリを表示する
CTFで検索をする
discriptionなのでそこにPNG GIF ASCIIを追加する
:%!xxd -r
:wq

Discussion