CTF考点刷题总结
文章平均质量分 86
J1rrY_
记录一个废物大一学安全的历程罢了
展开
-
羊城杯 2020 a_piece_of_java
我选择 https://github.com/rmb122/rogue_mysql_server。务器任意文件读取 2) JDBC反序列化打依赖链。一种可能的路径就是 JDBC反序列化打CC依赖链 不排除Mysql的任意文件读取。考点:JDBC反序列化打CC链+动态代理类触发readobject。同样的 被代理类实现了 序列化接口和。被反序列化的类只接受 本地的特定包。是可以实现 发起jdbc的连接的。可以作为动态代理的处理类 而且。一眼看过去 好像只有一个。原创 2024-06-17 15:19:04 · 532 阅读 · 1 评论 -
高校运维赛 2024 pyssrf
存在 CRLF注入 控制 缓存应用命令(redis) (CVE-2019-9947)对url进行md5加密 获取对应的redis key的值(poc的base64形式)考点: pickle反序列化+urllib库注入redis缓存。flask 框架也可以写静态目录,或者写flask内存马。这里触发 ssrf 是通过 python3.7 的。触发python反序列化即可执行rce。对应的MD5(也就是redis键值)环境存在 debug可以打 异常回显。对应的python反序列化poc。原创 2024-06-06 22:15:45 · 435 阅读 · 1 评论 -
网鼎杯 2020 玄武组 SSRFMe
类似 mysql uqf提权 通过自定义函数 进行命令执行(root)这里 redis 伪服务端用的是 原版作者的改良版。存在redis 服务 (6379) 有授权密码是。客户端先设置文件名,连接恶意Redis服务器。主要是redis伪服务器的选择和一些小坑点。接下来加载exp.so,执行任意命令即可。接下来就是常规的redis主从复制流程。复习一下常见的redis主从复制。用gopher 传递tcp数据流。执行成功 写入 自定义函数 到。特别的 打redis主从复制。直接redis 命令打就是了。原创 2024-06-06 21:21:41 · 453 阅读 · 0 评论 -
LCTF 2018 bestphp‘s revenge
通过本地访问后 flag存在session中 将session和cookie用CRLF拆分响应。考点:Soap原生类+Session反序列化+CRLF注入。接着携带session对应的cookie 即可回显flag。打ssrf 就需要结合session反序列化。再次刷新 以 默认序列化形式反序列化。可以明确看到 value 被还原为。可以结合首页 回显flag具体的值。函数可以接收一个数组作为参数,session反序列化本质是。类 不存在的方法 从而触发。造成的"隐形"反序列化。原创 2024-06-06 21:01:14 · 744 阅读 · 2 评论 -
CTF题型 nodejs(2) Js沙盒vm&vm2逃逸原理总结&典型例题
vm模块和vm2提供了一系列 API 用于在 V8 虚拟机环境中编译和运行代码逃逸定义:通过某种方式拿到沙箱外的就算成功本质上是拿到实现实现RCE结合命令执行的多种绕过上篇文章做了一个命令执行的绕过小总结。原创 2024-03-29 23:22:22 · 1581 阅读 · 1 评论 -
CTF题型 php://filter特殊编码绕过小汇总
php://filter是一个伪协议,它允许你读取经过过滤器处理的数据流。过滤器可以执行各种转换,如 base64 编码/解码、字符串压缩/解压缩等它的存在是数据流和控制流的“中间人”,有点类似我们抓包工具Burp的感觉,我们可以人为进行操控更改。原创 2024-03-28 23:30:33 · 789 阅读 · 1 评论 -
CTF题型 nodejs(1) 命令执行绕过&典型例题
参考:https://www.anquanke.com/post/id/237032。命令并等待 3 秒,但你不会看到任何输出或结果,因为你没有处理这个返回的对象。F12获取的是浏览器解析后的源代码,可能会包含一些动态生成的内容。在第四个字符发现非法字符,但是slice是从第四的元素开始替换。动态的一种绕过某些限制(比如模块缓存或包管理器的限制)的方法。这里是对字符操作,就是 被引号或者反引号包裹起来的字符。中的各个函数方法,再通过数组下标就可以拿到。将结果输出就可以了(就可以看到转圈)原创 2024-03-26 22:01:49 · 1424 阅读 · 0 评论 -
CTF题型 Python中pickle反序列化进阶利用&opcode绕过
Python 的 opcode(operation code)是一组原始指令,用于在 Python 解释器中执行字节码。在 Python 中,源代码首先被编译为字节码,然后由解释器逐条执行字节码指令。每个 opcode 都有其特定的功能,用于执行不同的操作,例如变量加载、函数调用、数值运算、控制流程等。因此os中o可以存在,但是单独的o是被禁止的,因为os被替换成Os,但对后续ser_data不影响。构造方法,在反序列化的时候自动执行,类似于php中的_功能:从string中读出序列化前的obj对象。原创 2024-03-26 09:23:24 · 2790 阅读 · 0 评论 -
CTF题型 匿名函数考法&例题总结
二 .重点匿名函数利用请熟记并理解为后面php代码审计打基础匿名函数**特点:无函数名,使用一次就被丢弃,一般可以动态执行php代码**原创 2024-03-20 21:57:58 · 1421 阅读 · 1 评论 -
CTF题型 md5考法&例题汇总
CTF题型 md5考法相关例题总结原创 2024-03-20 00:53:31 · 1627 阅读 · 1 评论 -
CTF题型 Http2降级走私原理分析&例题分享
CTF题型 Http2降级走私原理分析&例题分享原创 2024-03-19 16:38:59 · 1164 阅读 · 0 评论 -
CTF题型 Http请求走私总结&Burp靶场例题
CTF题型 Http请求走私原理分析&Burp靶场例题原创 2024-03-18 20:47:02 · 1277 阅读 · 0 评论 -
CTF 题型 SSRF攻击以及绕过汇总笔记&例题总结
SSRF攻击方式以及绕过手法总结原创 2024-03-18 14:36:06 · 3824 阅读 · 0 评论 -
CTF题型 php反序列化进阶(1) php原生类 例题和总结
题目环境:https://github.com/D0g3-Lab/i-SOON_CTF_2023/tree/main/web/easy_unserialize。(通过echo触发SplFileObject中的**__toString()**方法)复现环境:https://www.nssctf.cn/problem/3723。一般题目会用 foreach 遍历读取每一行输出flag内容。存在__toString,可以获取符合要求的第一个文件名。仅读取一行内容(完整内容配合php://filter)原创 2024-03-14 22:09:45 · 1345 阅读 · 1 评论 -
CTF题型 SSTI(3) Smart SSTI 例题和题记
前面我们学习了Flask SSTISmart SSTI和Flask SSTI 不同Smart SSTI 是基于php的,居然可以在其中参考 Smart中文手册 https://www.smarty.net/docs/zh_CN/这里我们用 https://www.smarty.net/docs/zh_CN/language.function.eval.tpl#id456693标签{eval}执行任意php代码。原创 2024-03-14 15:06:59 · 476 阅读 · 1 评论 -
CTF题型 SSTI(2) Flask-SSTI典型题巩固
复现环境:2023 极客大挑战 klf系列 https://github.com/SycloverTeam/GeekChallenge2023/tree/main/Web 题目flag没有内容自己加内容测试。请参考 https://blog.csdn.net/qq_39947980/article/details/136692512?请参考 https://blog.csdn.net/qq_39947980/article/details/136692512?尝试判读出网不 发现出网 无回显。原创 2024-03-13 23:51:24 · 1098 阅读 · 1 评论 -
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
CTF题型 SSTI(1)基础必过 学会自己手动构造payload原创 2024-03-13 21:47:16 · 1952 阅读 · 0 评论 -
CTF trick proc的利用题型总结
CTF中 常用trick 通过proc读取敏感信息原创 2024-03-11 16:34:50 · 1029 阅读 · 0 评论 -
CTF 题型 python原型链污染 题记和总结
CTF 题型 python原型链污染 刷题总结 及和js原型链的关系原创 2024-03-11 15:32:38 · 1454 阅读 · 0 评论