- 博客(3)
- 收藏
- 关注
RSS订阅原创 序列化漏洞与CTF题目
在序列化SESSION得:s:3:"img";s:3:"ctf";}";s:3:"img";经过filter过滤的结果:s:3:"img";s:3:"ctf";}";s:3:"img";由于替换了7个flag关键字,会往后吞28个字符串,刚好将guest";s:69:"aaaaa 赋给了user,后面构造img变量,后面是随便添加的一个变量,刚好满足三个变量,反序列化读取到webctf就结束了,后面的img被丢掉了。这样就完成了img的赋值。s:3:"ctf"
2023-12-09 13:11:18
45
原创 XXE漏洞与CTF题目
典型的XXE攻击是由XML声明:<?DTD部分(通过特殊的命令去其他文件读取信息)SYSTEMXML部分组成危害:XXE 可以通过dtd去读取,访问其他文件或者网站,类似于ssrf">]> DTD部分</scan> XML部分scan标签设置一个test的实体,这个实体是通过system命令访问1.txt构造payload>//XML声明">]>
2023-12-09 13:08:54
195
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人