2024 浙江省省赛初赛-WEB
Contents
2024 浙江省省赛初赛-WEB
easyjs
Tip
原型链污染简单应用
给了源码,提示是原型链污染漏洞
源码找不到了,先用一下队里web大师傅的
点名了原型链污染
通过POST方法到/api/notes一段JSON信息,可以修改isAdmin属性
POST传参到/api/notes
|
|
通过创建id=1的笔记,修改其属性的isAdmin值使其为1。
这个时候id=1的isAdmin被污染
通过访问flag页面得flag
|
|
hack memory
Tip
内存马的使用
dirsearch直接扫一下
发现有/shell/执行命令
直接上传一句话木马
|
|
然后直接GET传参cmd来执行命令得到flag
|
|
QL_again
Tip
QL表达式注入
待更新……
作者还在学😥😥