# [HMGCTF2022]Fan_Website /www.zip 得到源码 审计代码发现题目有个 album 路由,并且控制器只有一个 /module/Album/src/Controller/AlbumController.php 白名单只允许 jpg,jpeg,png 通过 还不能用这些东西,HALT_COMPILER 就是 phar 反序列化,如果可以绕过的话,那就包是 phar 反序列化的 上网搜这个组件的漏洞发现了一个反序列化漏洞 https://xz.aliyun.com/t/8975,那就好说了,我们可以上传一个 phar 文件,然后删除文件调用 unlink...

# ezoj: 是一个判题的系统 /source 源码: import osimport subprocessimport uuidimport jsonfrom flask import Flask, request, jsonify, send_filefrom pathlib import Pathapp = Flask(__name__)SUBMISSIONS_PATH = Path("./submissions")PROBLEMS_PATH =...

# [SWPUCTF_2016]Web7 进入就是这个,随便 aaa 提示是 python2 的 urlopen 函数,就是 crlf 了,可以用 set admin admin 来设置 admin 的密码, payload:(%0d%0a 就是回车键(回车换行))通过 urllib 注入 redis。修改 admin...

# vnctf 比赛部分复现 # web # 学生姓名登记系统 存在 ssti 漏洞 判断是否在同一行里面(这样便于进行 ssti,打继承链)可以利用 python 中 jinja2 的表达式不论什么表达式在渲染模板时回自动回显表达式的值,我可以利用这个分析是不是在同一行里面来进行渲染, {{a:=5}}%0a{{print(a)}} 如果是的话就会有 5...

# [HFCTF_2021_Final]hatenum function sql_waf($str){ if(preg_match('/union|select|or|and|\'|"|sleep|benchmark|regexp|repeat|get_lock|count|=|>|<| |\*|,|;|\r|\n|\t|substr|right|left|mid/i', $str)){ die('Hack detected'); }} function...

# java 反序列化 漏洞挖掘: 1. 找到发送 JSON 序列化数据的接口 2 判断是否使用 fastjson 非法格式报错 {“x”:" 2) 使用 dnslog 探测 {“x”:{"@type":“java.net.Inet4Address”,“val”:“xxx.dnslog.cn”)} Burp 插件 https://github.com/zilong3033/fastjsonScan 反序列化工具:GitHub - frohoff/ysoserial: A proof-of-concept tool for...

# [BSidesCF2019]Sequel 爆破密码都是 guest 获得启示:Maybe the admin likes it too? 看到有 session 可以试试 jwt,但是就是最简单的 base64 base64 解码 然后就不知道为什么就跳到了 sqlite 上面了 按 wp: import requestsimport base64import stringimport timeurl = "http://0eaa6072-56ef-4b36-9ba7-a0e1d673c493.node4.buuoj.cn:81/sequels"flag =...

# [NewStarCTF 公开赛赛道] BabySSTI_Two # 0x01 测试黑名单 SSTI / 沙盒逃逸详细总结 - 安全客 - 安全资讯平台 (anquanke.com) 细说 Jinja2 之 SSTI&bypass - FreeBuf 网络安全行业门户 ?name={{1+1}} # + 过滤 /?name={{"hj"}} # ""...