2025ISCC校赛web
战胜卞相壹用dirsearch扫一下,可以知道有robots.txt文件的 啊,想到当时很开心就有点想好笑,还以为发现flag了呢,发现只有“You can’t win here! Details determine success or failure!”这段文字, 回头看那个棋谱,想着有什么信息,用py显示一下,结果写的py得到的棋盘是反的 12345678910111213141516171819202122232425262728293031import matplotlib.pyplot as plt# SGF 格式的棋谱sgf_moves = [ "ae", "ce", "df", "cg", "ag", "ai", "ci", "ff", "hf", "jf", "gh", "ih", "le",...
ssrf
ssrf中的Url白名单检测的绕过一些应用程序只允许匹配上白名单范围内的输入,过滤器可能会在输入的开头或包含在输入中查找匹配项。您可以通过利用 URL 解析中的不一致来绕过此过滤器。URL 规范包含了许多在实现 URL 特定解析和验证时容易被忽略的特性: @的用法HTTP 基本身份认证特性允许 Web 浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,例如:https://expected-host:fakepassword@evil-host,这里的@是主域名解析,即@符号后面直接跟域名,@符号前面的内容会被视为用户名,相当于以 expected-host:fakepassword 的用户名访问 evil-host,至于用户名是啥不重要,关键是@后面的才是解析的地址! #的用法在 URL 中,#号后面的内容被称为片段标识符(fragment identifier),在客户端浏览器中,#及其后面的内容不会被发送到服务器。比如,访问http://example.com/page#fragment 时,浏览器只会向服务器发送...
