2.6k words 2 mins.

# PyCalX_1 进来就是计算器的页面:有源码 #!/usr/bin/env python3import cgi;import sysfrom html import escapeFLAG = open('/var/www/flag','r').read()OK_200 = """Content-type: text/html<link rel="stylesheet"...
2k words 2 mins.

# [HMGCTF2022]Fan_Website /www.zip 得到源码 审计代码发现题目有个 album 路由,并且控制器只有一个 /module/Album/src/Controller/AlbumController.php 白名单只允许 jpg,jpeg,png 通过 还不能用这些东西,HALT_COMPILER 就是 phar 反序列化,如果可以绕过的话,那就包是 phar 反序列化的 上网搜这个组件的漏洞发现了一个反序列化漏洞 https://xz.aliyun.com/t/8975,那就好说了,我们可以上传一个 phar 文件,然后删除文件调用 unlink...
9k words 8 mins.

# ezoj: 是一个判题的系统 /source 源码: import osimport subprocessimport uuidimport jsonfrom flask import Flask, request, jsonify, send_filefrom pathlib import Pathapp = Flask(__name__)SUBMISSIONS_PATH = Path("./submissions")PROBLEMS_PATH =...
308 words 1 mins.

# [SWPUCTF_2016]Web7 进入就是这个,随便 aaa 提示是 python2 的 urlopen 函数,就是 crlf 了,可以用 set admin admin 来设置 admin 的密码, payload:(%0d%0a 就是回车键(回车换行))通过 urllib 注入 redis。修改 admin...
1.4k words 1 mins.

# vnctf 比赛部分复现 # web # 学生姓名登记系统 存在 ssti 漏洞 判断是否在同一行里面(这样便于进行 ssti,打继承链)可以利用 python 中 jinja2 的表达式不论什么表达式在渲染模板时回自动回显表达式的值,我可以利用这个分析是不是在同一行里面来进行渲染, {{a:=5}}%0a{{print(a)}} 如果是的话就会有 5...
4.4k words 4 mins.

# [HFCTF_2021_Final]hatenum function sql_waf($str){ if(preg_match('/union|select|or|and|\'|"|sleep|benchmark|regexp|repeat|get_lock|count|=|>|<| |\*|,|;|\r|\n|\t|substr|right|left|mid/i', $str)){ die('Hack detected'); }} function...
424 words 1 mins.

# [NewStarCTF 2023 公开赛道] Include 🍐 <?php error_reporting(0); if(isset($_GET['file'])) { $file = $_GET['file']; if(preg_match('/flag|log|session|filter|input|data/i', $file))...
61k words 55 mins.

# java 反序列化 漏洞挖掘: 1. 找到发送 JSON 序列化数据的接口 2 判断是否使用 fastjson 非法格式报错 {"x":" 2) 使用 dnslog 探测 {"x":{"@type":"java.net.Inet4Address","val":"xxx.dnslog.cn")} Burp...