thumbnail
2022ByteCTFWP-Web
2022ByteCTFWP-Web 这次跟lu1u还有学弟一起在n03tAck打了字节, 不过比赛进行到第二天的时候我们要打美团决赛,所以只做了一天的题目有点难搞, Web就只在第一天解出了两个题目, 在这里记一下WP吧 easy_grafana grafana进去就是先看版本号v8.2.6 Grafana的8.0.0-beta1 to 8.3.0…
thumbnail
2022MTCTF-Final-WP-Web
2022MTCTF-Final-WP-Web 今天美团决赛属于个人赛了, 早上拿了一血之后就坐大牢了,就再也没有解出第2题, 输麻了, 团队预计最后应该和几个队伍一起并列第三或第四吧... Mako ImageMagick(7解) Mako8.0.6 拿到源码之后看了一会儿目录结构感觉和TP的结构差不多, 应该就是TP二次开发而来的, 然后就是审了…
thumbnail
golang模板渲染可控的条件下可以做什么?
golang模板渲染可控的条件下可以做什么? 昨天ByteCTF逼我翻了一天的npm手册,一天速成nodejs,,, 今天美团决赛逼我一天速成golang,真的麻了 渲染语法内容学习参考 今天主要看了golang模板渲染的内容(使用的是text/template这个标准库) 对模板渲染的语法学习可以直接看下面这些文章 https://blog.cs…
thumbnail
2022北京工业互联网安全大赛初赛WP-Web
2022北京工业互联网安全大赛初赛WP-Web 这次比赛Web只有两道题, 因为早上要上课到十二点才放学, 但是比赛三点多就比赛结束了, 所以做的很匆忙, 第一题的有两层(这点搞得我很难受...), 第二题的话就是一个使用引用修改变量 ezRead 题目一进去就是一个点击的地方,点进去之后看到访问的链接是/read.php?Book=ZGRsLnR…
thumbnail
pickle源码大宝典-ForMe
pickle源码大宝典-ForMe 在美团初赛一个pickle反序列化中R i o c的过滤直接把我搞头大了,去翻了一便源码学了一下才把题目解出, 比赛结束之后我就直接熬了一夜直接把全部操作的源码看了一遍并且后面部分操作我自己测试了一遍, 然后将每个操作的实现过程以及操作demo都写了注释,在这里挂我作为笔记本的博客分享一下吧(主要看操作注释部分就…
thumbnail
2022MTCTFWP-Web
2022MTCTFWP-Web 昨天晚上比赛结果出来了, 最后是第二(结束的时候是第四但是有两只队伍被ban了然后我们就是第二了), 大后天就是决赛了, 在这里就挂一下我们web的WP吧(因为题目不是很难所以0解题之外其他的都出了)其中pickle还是值得好好仔细看一下的, 另外再发一篇文章里面对pickle的各个操作都做了详细的注释解答(学习pi…
thumbnail
2022蓝帽杯决赛WP-Web
2022蓝帽杯决赛WP-Web 历经初赛半决来到了决赛, 这次决赛采用了AWDP,Web的题目并没有太难(那个0解题除外), 拿了个simple-fish的2血, 我们队的web全部修复完成, 攻击分也是全场最高, 但是pwn修复出了点小插曲, 另外网上有详细漏洞分析的赌怪我也没修, 所以最后防御分被拉了好多, 最后就是第3了... 赌怪 防御 赌…
thumbnail
2022第五空间WP-Web
2022第五空间WP-Web 这次比赛Web应该是最简单的了, 比赛也过去几天了在这里发一下比赛中的四道Web的WP吧(这次WebAK的师傅应该还是有不少的) 5_web_BaliYun 题目打开就是一个文件上传界面,而且还是白名单, 开始试了下根本绕不过去,不过扫一下拿到源码知道是个phar反序列化就很快拿下了 index.php <!DO…
thumbnail
SQLMAP-tamper的寻迹与发现
SQLMAP-tamper的寻迹与发现 对tamper的各种绕过可以参考这个文章: sqlmap的tamper详解 对sqlmap框架目录的学习可以参考: SqlMap文件结构介绍 几个常用的简单记录 binary参数指定字符串可以解决字符串比较忽略大小写的问题 COALESCE函数可以说是新的if和when...case的替代语句了(感觉最大的收…
thumbnail
Phar反序列化如何解决各种waf检测和脏数据的添加问题?
Phar反序列化如何解决各种waf检测和脏数据的添加问题? 快来学爆,看完这些之后对phar的waf检测和脏数据的问题再也不用挠头了 phar支持的格式 phar文件可以是下面三种格式: zip .zip .phar.zip tar .tar .phar.tar .pahr..tar.gz .phar.tar.bz phar .phar .phar…
thumbnail
6.0.12LTS的反序列化链寻找
6.0.12LTS的反序列化链寻找 按照以往 我通过搜索发现框架中是有两个可用的__destruct函数的,之前一直用的都是从vendor/topthink/think-orm/src/Model.php:1063触发的调用链 而Pivot就是Model的唯一实现类,所以最后就是以Pivot作为触发点了 POC1: <?php namespa…
thumbnail
Thinkphp的审计学习|6.0.12LTS
Thinkphp的审计学习|6.0.12LTS 想要对TP框架进行审计学习那么先了解它的框架加载机制和流量走向是很有必要的, 因为当前最新版为6.0.12LTS,刚好国赛的ezpop也是这个版本的代码, 这里我就直接拿题目的源码进行调试了 Something... 了解一下下面几点: 请求的时候在指定控制器和操作方法的时候|和/的作用是一样的,因为…
thumbnail
BeanShell1反序列化|ysoserial学习(五)
BeanShell1反序列化|ysoserial学习(五) 文章导读 今天对yso的分析学习选择了BeanShell1这个链子, 从这条链子可以学到一些关于解释器对象的一些属性特点, 以及Xthis对象能通过handler完全接管namespace和解释器的特点, 快来跟我一起学习吧 BeanShell1-Gadget /** * Credits:…
thumbnail
Groovy1反序列化|ysoserial学习(四)
Groovy1反序列化|ysoserial学习(四) 文章导读 今天对yso的分析选择了Groovy1这条链子, 总的来说对了解对象代理和Groovy对闭包的处理逻辑还是又不少的好处的, 快来一起学习吧 Groovy1-Gadget /* Gadget chain: ObjectInputStream.readObject() PriorityQu…
thumbnail
Hibernate2反序列化|ysoserial学习(三)
Hibernate2反序列化|ysoserial学习(三) Hibernate2-Gadget /** * * Another application filter bypass * * Needs a getter invocation that is provided by hibernate here * * javax.naming.Ini…
thumbnail
Hibernate1反序列化|ysoserial学习(二)
Hibernate1反序列化|ysoserial学习(二) Hibernate1-Gadget /** * * org.hibernate.property.access.spi.GetterMethodImpl.get() * org.hibernate.tuple.component.AbstractComponentTuplizer.getP…
thumbnail
ROME反序列化|ysoserial学习(一)
ROME反序列化|ysoserial学习 Gadget /** * * TemplatesImpl.getOutputProperties() * NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) * NativeMethodAccessorImpl.invoke(Object, …
thumbnail
从羊城杯一道题学习高版本JDK下JNDI的利用
从羊城杯一道题学习高版本JDK下JNDI的利用 还原题目 源码内容不多,只有一个解析控制器, @RequestMapping({"/ApiTest"}) public class JsonApiTestController { @Autowired private ApiTestService apiTestService; p…
thumbnail
羊城杯WP: 1. php://filter的一点绕过trick 2. 非预期 3. 高版本JDK下JNDI的利用
thumbnail
蓝帽杯半决wp
蓝帽杯半决wp 是只有一个题还是只出了一个不记得了,太久了。。。 fatfree https://github.com/f1tz/cnseay/blob/master/Seay%E6%BA%90%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1%E7%B3%BB%E7%BB%9F2.1.zip https://github.c…