香港網按奪旗賽HKCERT CTF 2024 Write up（上）

文章预览

Web 新免費午餐 米斯蒂茲的迷你 CTF (1) 米斯蒂茲的迷你 CTF (2) PDF 生成器（1） PDF 生成器（2） 已知用火 (1) 已知用火 (2) JSPyaml 奇美拉 Misc 自行取旗 B6ACP My Lovely Cats Forensics One Way Room APT攻擊在哪裡 (1) Web 新免費午餐 控制台直接使用以下指令完成遊戲 score =  9999 endGame() 完成後在計分板中查看flag 米斯蒂茲的迷你 CTF (1) 從sql初始化裡面可以看出Flag1在一個提交記錄裡面 查看attempt的model，有一個查詢過濾器，因此用戶只能查詢到自己的查詢記錄，因此需要拿到userid為2的用戶密碼才能取得這個flag 用戶player的密碼只有6位元hex格式字符 views中註冊api相關程式碼如下： from  flask  import  Blueprint, request, jsonify from  flask.views  import  MethodView import  collections from  app.views  import  pages from  app.views.api  import  users from  app.views.api  import  challenges from  app.views.api.ad ………………………………