CTF
PD_3569
这个作者很懒,什么都没留下…
展开
-
PHP的libcurl中存在的一些问题
http://wonderkun.cc/index.html/?p=670看了近来的几场ctf题目,学习了一些关于php libcurl的一些知识,在这里总结一下。0x1发送POST请求时造成任意文件读取PHP manual上对CURLOPT_POSTFIELDS 这个选项的描述如下:也就是说当CURLOPT_POSTFIELDS传入的数据是urlencode 的字转载 2017-12-22 11:18:21 · 3901 阅读 · 0 评论 -
Jinja2 模板注入&模板内命令执行
原因: ichunqiu 的web中有一个 Musee de X ,知道 http:// 文件能获取,但是没有想到 file:// 获取文件,根据报错也没有想过他用的是 jinja2。后来朋友说payload每个环境可能不太一样,就自己尝试了一波。分析: 这是 python2 运行的,结果就是输出 whoami 的信息#code:utf-8from jinja2 imp...原创 2018-03-13 09:11:10 · 2211 阅读 · 0 评论 -
骚年,看我如何把 PhantomJS 图片的 XSS 升级成 SSRF/LFR
https://paper.seebug.org/344/在一次赏金程序中,我碰见这么一个请求,用户输入然后生成图片供下载。过了一会儿,我便把图片内部的 XSS 升级成服务端的任意文件读取漏洞。因为程序的隐私性,所以我将尽力抹掉敏感信息。原始请求如下:https://website/download?background=file.jpg&author=Brett&header=T...转载 2018-03-24 16:50:09 · 673 阅读 · 0 评论 -
RPO & share your mind
http://pupiles.com/qiangwangbei.html好久前有文章关于 RPO,当时忘记在做什么了,反正好久没看过文章了 ... 这么快就用上了 ... 有一次教训 ...Share your mind这题必须要写一下自己的踩坑经历,首先进去浏览一下页面功能,有个提交bug页面的地方,还有个可以新建文章的地方最后就是浏览文章(但是只能浏览自己发的文章),首先想到的就是xss+cs...转载 2018-03-27 21:59:04 · 488 阅读 · 0 评论 -
0CTF 2018 Quals Bl0g writeup
记录:之前没有做,看着wp稍做了解,复现一遍了解CSP限制虽然刚开始是绕过CSP,但是我觉得绕过和没有绕过没什么区别。0.0Content-Security-Policy: script-src 'self' 'unsafe-inline'Content-Security-Policy: default-src 'none'; script-src 'nonce-BXwvkDpdui1nFUwI...原创 2018-04-12 14:27:24 · 763 阅读 · 0 评论 -
如何利用/防禦 Service Worker
https://hk.saowen.com/a/02abd976c3348e09e374b24be8c4a94ae2dde23ddfac6f3dc63025237b19a96c上午看到相关0ctf里有相关wp,尝试自己复现理解:需要能控制 .js 文件或者 jsonp 弱验证,危害是,如果serviceworker注册成功那么同目录下文件都能被控制,而且清空缓存才可以结束XSS复现:jsonp.p...转载 2018-04-19 16:09:21 · 196 阅读 · 0 评论 -
Python PyYAML反序列化漏洞实验和Payload构造
0x01 概述什么程序存在漏洞:使用了PyYAML这个库并且使用了yaml.load而不是yaml.safe_load函数来解析yaml文件的程序代码审计关键词:import yamlyaml.load(已知相关漏洞:Remote Code Execution Vulnerability in Ansible-Vault Library. (CVE-2017-2809)https://pypi.p...转载 2018-04-24 11:39:39 · 3461 阅读 · 1 评论 -
CTF SSTI 一些记录
https://ctftime.org/writeup/10895https://www.xmsec.cc/ssti-and-bypass-sandbox-in-jinja2/ ▼▼▼Shrine(Web:solved 58/810=7.1%)▼▼▼This writeup is written by @kazkiti_ctfGET / HTTP/1.1Host: shri...转载 2018-10-13 11:31:21 · 5855 阅读 · 0 评论 -
Phar与Stream Wrapper造成PHP RCE的深入挖掘
https://blog.zsxsoft.com/post/38今年的HITCON打完了,沉迷写前端搞Nextjs骚操作的我成功爆0(雾),不想写前端了.jpg。先跑个题。HITCON 2016上,orange 出了一道PHP反序列化。HITCON 2017上,orange 出了一道Phar + PHP反序列化。HITCON 2018上,orange 出了一道file_get_con...转载 2018-10-24 12:17:47 · 713 阅读 · 0 评论 -
反序列化之PHP原生类的利用
http://www.cnblogs.com/iamstudy/articles/unserialize_in_php_inner_class.html文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何?N1CTF有一个无pop链的反序列化的题目,其中就是找到php内置类来进行反序列化。基础知识首先还是来回顾一下序列化中的魔术方法,下面也将以此进行分类来进行研...转载 2018-03-18 22:10:52 · 1665 阅读 · 0 评论 -
mysql 多条执行 pre 预编译
http://www.venenof.com/index.php/archives/240/OK,it also have a Unintended Solution:i find it in my friend&member'blog=>albertchanghe use set+PREPARE+EXECUTE:mysql> select group_concat(sche...转载 2018-02-25 15:50:41 · 451 阅读 · 0 评论 -
浅谈CTF中命令执行与绕过的小技巧
http://www.freebuf.com/articles/web/137923.html空格绕过 符号%09 符号需要php环境,这里就不搭建啦,见谅)$IFS$9 符号${IFS} 符号这里解释一下${IFS},$IFS,$IFS$9的区别,首先$IFS在linux下表示分隔符,然而我本地实验却会发生这种情况,这里解释一下,单纯的cat$IFS2,bash解转载 2017-12-23 20:36:46 · 3710 阅读 · 0 评论 -
mysql无逗号的注入技巧
http://wonderkun.cc/index.html/?p=442在一个 ctf比赛中,遇到这样一个注入题:用户的ip可以用x-forwarded-for来伪造,然后把ip存储到数据库中去,对ip没有进行任何过滤,存在注入,但是有一个限制就是: 用‘,’逗号对ip地址进行分割,仅仅取逗号前面的第一部分内容。然后:没有报错,没有回显,没有bool,只有延时。 送转载 2017-12-26 20:40:39 · 6312 阅读 · 1 评论 -
一个PHP正则相关的“经典漏洞” preg_replace
https://www.cdxy.me/?p=756小密圈《代码审计》中看到P神发的“经典漏洞”,关于写配置文件这个功能点。问题代码$str = addslashes($_GET['option']);$file = file_get_contents('xxxxx/option.php');$file = preg_replace('|\$option=\'.*\';|',"\$optio转载 2018-01-02 14:25:17 · 7563 阅读 · 0 评论 -
php 操作系统之间的一些黑魔法(绕过文件上传a.php/.)
http://wonderkun.cc/index.html/?p=6260x00 前言做了一个CTF题目,遇到了一些有趣的东西,所以写了这篇文章记录了一下。 但是我却不明白造成这个问题的原因在哪里,所以不知道给文章起什么标题,就姑且叫这个非常宽泛的名字吧。0x01 CTF题目原型在遇到的题目中,最后一步是getshell,大概可以简化为以下代码: // 测试环境 linux + apache2转载 2018-01-02 15:59:23 · 7694 阅读 · 0 评论 -
javascript 构造上传文件
刚开始 想不通 如何用 csrf 去上传文件,而且 session 也不能伪造知道 看到 这种方式 ...... 记录一下 function submitRequest() { var xhr = new XMLHttpRequest(); xhr.open("POST", "http://172.17.0.2原创 2018-01-25 13:52:32 · 521 阅读 · 0 评论 -
P牛口令红包题目_TRICK
0x03 FILTER_VALIDATE_EMAIL 绕过 这就是今天第一个trick。这个点早在当初PHPMailer的CVE-2016-10033就提到过。RFC 3696规定,邮箱地址分为local part和domain part两部分。local part中包含特殊字符,需要如下处理:将特殊字符用\转义,如Joe\'Blow@example.com或将local part包裹在双引号中...转载 2018-03-08 13:59:49 · 621 阅读 · 0 评论 -
CSP总结及CTF实例分析
https://mp.weixin.qq.com/s?__biz=MzU1MzE3Njg2Mw==&mid=2247484861&idx=1&sn=8edcacdf05a4598a5515ecff21a6b0f4&chksm=fbf79fcdcc8016dbdca8a82b305e006f9ceb6c418f21fc43c5546257285a741356f8c0c...转载 2018-03-09 10:54:39 · 3016 阅读 · 0 评论 -
SSRF绕过filter_var( ) & data:// xss
当 php 如此构造<?php echo "Argument: ".$argv[1]."n"; // check if argument is a valid URL if(filter_var($argv[1], FILTER_VALIDATE_URL)) { // parse URL $r = parse_url($argv[1]); ...原创 2018-03-16 13:37:29 · 750 阅读 · 0 评论 -
phar 反序列化本地测试
https://xz.aliyun.com/t/2715看了上边的文章,然后根据他的代码来复现的。 众多文件操作函数能反序列化在于使用了 phar_parse_url,之后有调用到 phar_var_unserialize。生成 phar代码: test.txt随便写就行,没必要真实存在<?php class TestObject { } $...原创 2018-10-24 16:24:27 · 769 阅读 · 0 评论