- 博客(3)
- 收藏
- 关注
RSS订阅原创 ISCC2023web 老狼老狼几点了(小白版详细复现)
2)call_func()会被__destruct()自动调用,call_func()函数中$lets_show_time会被反序列化,然后filter过滤func属性,过滤base64大小写为空,有过滤,这里可以想到字符串逃逸,一次逃掉6个字符。首先传参,p1,p2 分析:需满足p1,p2值不相等,但是md5值相等,且p1的前10位需强等于当前时间戳,这里考虑先预写一个未来的时间,到时候再传上去。需要把标记内容过滤,一共16个字符,凑个整,6*3=18,可以把b的值再多加两个字符。
2024-06-07 21:03:22
1552
1
原创 url特殊字符编码问题小记录|buuctf极客大挑战2019 easysql
发现:GET传参会进行url编码,所以不能使用 #,而要使用%23。(#有特殊意义,会在浏览器端直接被当做书签符号,这样就无法达到我们想要的效果:把#当做参数连接到服务器端。经查阅得,当Html的表单被提交时,每个表单域都会被Url编码之后才在被发送。由于历史的原因,表单使用的Url编码实现并不符合最新的标准。从初始页面表单输入payload,能成功登陆,但是若是直接在url上修改,就会被判断为。所以此处的“+”不是特殊意义字符,而是表单的特殊url编码规则。-- +不行,-- -行。+也是特殊意义符号。
2024-03-08 20:59:54
586
原创 upload文件上传通关记录
先上传.htaccess文件,(若上传不成功,可改名为x.htaccess,然后bp抓包改名)这样可以使任何类型文件作为php解析,然后上传php文件,改名为shell.hph后上传。php一些函数的底层是C语言,C语言字符串中,结尾是/0,十六进制就是0x00,会把该字符串截断,0x表示十六进制,URL中%00解码成16进制就是0x00。在windows中,如果文件名+"::$DATA",会把“::$DATA”之后的数据当成文件流处理,不会检测后缀名,且保持“::$DATA”之前的文件名。
2023-09-24 21:08:05
734
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人