![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
RCE
文章平均质量分 52
rce
fmyyy1
最废物的web手
展开
-
ctfshow web40利用session进行rce
期末考考完了应该继续学习网安了。之前一段时间去尝试挖cnvd,也是混到了自己的第一张cnvd证书,虽然是没有什么技术含量的洞,但也让我觉得很开心。放出来分享一下但证书都是次要的,重要的是自己能力的提升。之前买了ctfshow的vip题,遇到了一个之前不知道的trick,记录一下。源码<?phpif(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&原创 2021-07-08 14:14:40 · 450 阅读 · 0 评论 -
[WMCTF2020]Make PHP Great Again
源码<?phphighlight_file(__FILE__);require_once 'flag.php';if(isset($_GET['file'])) { require_once $_GET['file'];}解法一这一看就是session.upload_progress文件包含import ioimport requestsimport threadingsessid = 'bbbbbbb'data = {"cmd":"system('cat flag.ph原创 2021-05-25 14:53:30 · 1264 阅读 · 0 评论 -
[NESTCTF 2019]Love Math 2
源码 <?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 60) { die("太长了不会算"); } $blacklist = [' ', '\t',原创 2021-05-20 19:46:26 · 689 阅读 · 0 评论 -
[EIS 2019]EzPOP
<?phperror_reporting(0);class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store;原创 2021-04-28 11:04:31 · 239 阅读 · 0 评论 -
[ISITDTU 2019]EasyPHP
这题有点儿复杂参考上来就是源码<?phphighlight_file(__FILE__);$_ = @$_GET['_'];if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) die('rosé will not do it');if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd ) die('you are so close,原创 2021-04-27 19:16:40 · 968 阅读 · 1 评论 -
[NPUCTF2020]ezinclude
直接读源码抓包直接传递hash值?pass=fa25e54758d5d5c1927781a6ede89f8a看到响应中多了内容访问后看到是文件包含用伪协议读flflflflag.php<html><head><script language="javascript" type="text/javascript"> window.location.href="404.html";</script><tit原创 2021-04-20 14:09:23 · 434 阅读 · 0 评论 -
[GYCTF2020]EasyThinking
题目提示是thinkphp框架。随便输个路径百度搜一下这个版本的TP找到了漏洞:ThinkPHP6任意文件操作漏洞分析看了wp,扫路径能扫到www.zip下载到源码,审计部分就不写了。我们注册账号,并将session改为长度为32的php文件登录成功后进入搜索界面,写个搜索个木马,会保存在我们的session文件中。路径是runtime/session/sess_1234567891234567891234567890.php蚁剑连接成功后看到根目录下有flag和readflag,.原创 2021-04-14 17:33:35 · 461 阅读 · 0 评论 -
[HFCTF2020]JustEscape
场景最低行提示不是php,测试过后发现是nodejs。是vm2的沙箱逃逸问题。github上有现成的pochttps://github.com/patriksimek/vm2/issues/225"use strict";const {VM} = require('vm2');const untrusted = '(' + function(){ TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor(原创 2021-04-13 14:26:58 · 1114 阅读 · 2 评论 -
[BJDCTF2020]EzPHP
场景看源码base32解码后得到1nD3x.php访问得源码 <?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><font color=red><B>This is a very原创 2021-04-11 16:19:26 · 167 阅读 · 0 评论 -
[SUCTF 2019]EasyWeb 1
上来就是源码<?phpfunction get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_FILES["file"])){原创 2021-04-09 16:38:37 · 937 阅读 · 0 评论 -
[HITCON 2017]SSRFme
源码:<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox = "sandbo原创 2021-04-03 13:53:38 · 170 阅读 · 1 评论