国赛
文章平均质量分 66
_rev1ve
这个作者很懒,什么都没留下…
展开
-
[CISCN 2023 华北]pysym
分析一下,首先检查上传文件是否为空以及文件大小,对文件名进行路径拼接,然后给出上传成功后随机的文件路径,try命令执行tar解压文件,这里存在RCE漏洞,我们可以利用。除此之外,发现当savepath包含一些特殊字符时会引发file.save(savepath)报错,用base64避免。因为os.system是无回显的,我们尝试反弹shell。随便上传一个文件,bp抓包修改文件名。原创 2023-11-17 11:25:31 · 359 阅读 · 0 评论 -
[CISCN 2023 西南]do_you_like_read
存在文件后缀检测,如果为php相关的后缀将其改为jpg,其他后缀不做修改。我们可以绕过disable_function造成RCE。打开题目,大概是一个购买书籍的网站,有登陆的功能。在admin.php中会验证是否为admin用户。我们尝试爆破下密码,爆出来为admin123。修改下路径即可,payload如下。我们转换思路,在源码找到利用点。登陆后发现存在文件上传漏洞。但是蚁剑连接后发现权限不够。我们可以先分析下给的源码。上传成功后,再上传名为。原创 2023-11-12 20:30:48 · 276 阅读 · 0 评论 -
[CISCN 2019初赛]Love Math
简单分析一下,只有一个GET传参参数是c,然后对上传的值进行黑名单检测,接着给了白名单以及常用的数学函数。这个提示很明显了,需要我们用函数进行转换成我们的执行命令。这里最后一个点,就是我们传递的参数值为两个(即一个是函数名 一个是参数),该如何绕过呢。这样的出来,但是这里对我们c的值进行了超多过滤,这里用的是构造出类似。呢,其实目的很明显,因为c的值不能有字母,而我们要想利用。解决方法是用php7的特性,就是可以用变量执行函数。关键点利用php动态函数的特性,比如我们可以构造。,这里需要用到的两个函数是。原创 2023-09-01 17:19:55 · 1516 阅读 · 0 评论 -
[CISCN2019 华北赛区 Day1 Web2]ikun
[CISCN2019 华北赛区 Day1 Web2]ikun pickle反序列化 ,JWT加解密与密钥, js前端代码原创 2023-09-05 20:38:36 · 181 阅读 · 0 评论 -
[CISCN 2019华北Day1]Web1
原因:由于是使用文件系统函数(Filesystem),而在download.php存在open_basedir的限制,不能读取根目录文件而delete.php不存在这个限制。如果是File类的close(),就是获取文件的内容,所以$this->files数组里的元素必须为File类的对象。的值,就可以在最后面输出其文件的内容,这样就可以获得flag。而在__call()函数里我们存储的文件的内容就在。类的对象,然后触发其中的__call()方法。调用File类的close()方法,并存储在。原创 2023-09-07 23:10:06 · 484 阅读 · 0 评论 -
[CISCN 2022 初赛]online_crt
出在/createlink这个路由下的c_rehash指令,c_rehash是openssl中的一个用perl编写的脚本工具,用于批量创建证书等文件 hash命名的符号链接,是当用户可控文件名时的命令注入。然后通过访问 /proxy路由来打通与内容 go源码业务部分的连接,修改我们的证书文件名,并加上我们的命令执行RCE。这一段代码比较重要的就是只要绕过if语句就可以修改我们指定的.crt后缀的证书文件名。分析一下,采用的是flask模板,总计4个路由。我们先生成一个证书,然后记下它的文件名。原创 2023-09-16 12:06:54 · 152 阅读 · 1 评论 -
[CISCN 2023 初赛]go_session
Index函数用于处理根路径下的请求,它的参数是一个指向gin.Context的指针,而gin.Context是Gin框架中的一种上下文对象类型。对表单提交,浏览器会自动设置合适的 Content-Type 请求,同时 生成一个唯一的边界字符串,并在请求体中使用这个边界字符串将不的表单字段和文件进行分隔。首先是接收session的参数name,然后判断会话中的name值是否为空,如果为空,就会将name的值设置为guest,然后将会话保存到请求中,最后使用String方法返回一个状态码和一个字符串。原创 2023-11-07 12:35:36 · 371 阅读 · 0 评论