- 博客(6)
- 收藏
- 关注
RSS订阅原创 [BSidesCF 2020]Had a bad day
./表示向上一层目录,你传php://filter/read=convert.base64-encode/resource=woofers/../flag会先进入woofers目录,再退回上层目录,再访问flag.php目录,是和php://filter/read=convert.base64-encode/resource=flag等价的。php://filter/xxx/resource=flag.php,会变成php://filter/resource=flag.php。文件夹是否真的存在!
2026-03-27 15:09:02
171
原创 [GXYCTF2019]禁止套娃
也就是说你传aaa()和aaa(bbb())和aaa(bbb(ccc()))都是合法的,都会被替换成NULL,留下一个;第二层:前面都还好,就是一个(?scandir() //列出这个目录下所有的文件和文件夹名字 ,返回一个数组(scandir('.')表示返回的是当前工作目录)第一层:过滤了一些伪协议:data://,phar://,以php://开头的(比如php://filter)localeconv() //返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."
2026-03-26 19:49:55
204
原创 [CISCN2019 华北赛区 Day2 Web1]Hack World
我们可以确定flag的开头一定是f,ascii,码是102,那我们是不是可以利用截取函数substr函数截取我们查询到的flag的第一个字符,将它转为ascii码,等于102,那么if函数为真,返回1,页面返回Hello, glzjin wants a girlfriend.若为假,函数返回2,页面返回Do you want to be my girlfriend?经过这些测试我们能知道输入数字是有一句字符串回显的,输入含过滤的内容会被拦截,输入非数字但不包含过滤的字符会返回false(bool)
2026-03-24 19:18:23
173
原创 Buu刷刷题
最总的payload的第二部分不需要为协议,我们已经知道useless.php的内容,目的是将他包含进最开始的代码里,而不是读取并输出useless.php源码中的内容,所以只要传file=useless.php即可。因为index.php和我们上传的文件是在同一目录下的,我们可以利用.user.ini配置文件,具体解释可以参照本文的[MRCTF2020]你传你🐎呢,那道题.user.ini是行不通的。SELECT(database())#,再加上*被过滤,我们不能用注释符绕过,发现堆叠也行不通。
2026-03-22 14:15:17
371
原创 浙江省第八届大学生网络与信息安全竞赛初赛-web-ezserialize
2. User::__toString() 调用 $this->role->getInfo() → 但 Admin 没有 getInfo() 方法。3. 触发 Admin::__call('getInfo', ...) → 调用 $this->command->execute()利用链:User::__toString()->Admin::__call()->FileReader::execute()1. 反序列化 User 对象 → echo $obj 触发 User::__toString()
2026-03-11 18:40:11
28
原创 ISCTF web部分wp
一个zip文件上传器,附录中有python源码,Bottle是一个基于python的web框架。在路由中,代码执行了—— 将读取到的文件内容直接作为 Bottle 模板渲染。Bottle的模板引擎支持python代码执行{{...}}内的内容。上传内容{{7*7}}的文本压缩后的zip,回显49由此可以判断存在ssti模板注入漏洞但是黑名单过滤了除f l a g以外的常见字符但是都只过滤了半角字符,可以用全角字符绕过(占用两个字符宽度),python解释器可以识别。
2025-12-15 19:20:24
312
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人