Z3r4y-CSDN博客

原创【Web】D^3CTF 2025题解

jtar 的 TarOutputStream 打包文件时，它会把文件名中的 UTF-8 强制转化为 UTF-16(Java的char类型是16位的Unicode字符（UTF-16编码）)对sessionPolicy字段进行base64解码发现是一些存储桶权限策略。带着返回的aksk和sessiontoken访问存储桶，发现权限不够。获取STS的时候将object_name改包为flag。注意到对同一字符，UTF-8和UTF-16的后两位相同。构造一下payload。再tar&untar。

2025-06-05 10:30:21 586

原创【云安全】以Aliyun为例聊云厂商服务常见利用手段

云攻防场景下对云厂商服务的利用大同小异，下面以阿里云为例其他如腾讯云、华为云、谷歌云、AWS、Azure不一一列举。

2025-06-01 16:59:53 701

原创【Web】京麒CTF2025 wp(签到题)

os._wrap_close在134个（即133）如下输入得到/flag的输出。说明后端是进行了个eval处理。最后flag在环境变量中。现在就可以自定义输入了。删去disable字段。

2025-05-26 13:11:24 442

原创【Web】LACTF 2025 wp

（在 Node.js 中，由于其字符串表示方式，字符串可能包含空字节。flask生成的session会对相同字符串进行zlip压缩（这里则是username为password的子串时）password 是 Flag的变形（每个字符ASCII码 + funny_num mod 128）这题是secure-sqlite这个库的问题，底层用的是C，没处理好\0字符截断的问题。插入数据库的时候只会保留\0前的admin。看下main.js，发现flag的加密逻辑。但不能重复注册存在的用户。让gpt写个脚本解一下。

2025-05-11 00:14:20 541

原创【Web】ACTF 2023 题解

无聊，随便复现。

2025-04-25 00:17:42 459

原创【Web】TGCTF 2025 题解

blacklist去除'{'和'}'，本地起个服务用fenjing梭一下，把{{}}换成天命难违。对username后的引号进行转义，让username为 \' AND password =文件内容用PCRE回溯上限绕过，文件后缀用move_uploaded_file特性绕过。访问upload.php.bak看到上传文件的逻辑。显然有一处SQL注入，但waf掉了闭合的单引号。读/proc/1/cmdline。无解的题目只能用条件竞争，竞争。访问index.php.bak。扫出来./hint路由。

2025-04-22 20:50:26 627

原创【Web】TRX CTF 2025 题解

用ast库来解析传的json，flag在同目录的secret.py里默认传参是只传source而ast.parse接收filename参数尝试将filename设为/etc/passwd发现成功读到line2的内容接下来读secret.py将错误行数设为第六行，成功读到flag。

2025-04-20 15:29:48 378

原创【代码审计】CVE-2023-51074漏洞点解读&修复

最近在看内网相关的东西，好东西都写本地了没发出来，被4riH04X师傅叫去看个洞，浅写一下🤔CVE-2023-51074 是一个影响组件的安全漏洞，涉及问题，可能导致拒绝服务（DoS）攻击。

2025-03-16 17:50:37 1461

原创【钓鱼】基于office的一些钓鱼技法

解压docx文件，修改 word\_rels\settings.xml.rels文件的Target属性，将其指向部署恶意模版文件的服务器。先随便创建一个快捷方式，让其指向powershell，并用-command指定恶意命令。去下一个pdf风格的png文件，改后缀为ico文件。3.新建并保存一个使用任意模版的docx文件。1.制作包含宏的恶意模版文件（.dotm）下面用office2016来演示。2.将恶意模版文件上传至服务器。打开docx文件，成功执行命令。保存后打开文件，成功命令执行。

2025-01-26 12:55:53 677

原创【Web】2025-SUCTF个人wp

先是找入口点，全局搜__destruct，看到RejectedPromise这个类对handler、reason可控，可以拼接message触发__toString。从_methodMap中取一组数据，配合_loaded，可以调用任意类的任意方法，最后走到sink。结合“测试”的提示&404特征辨别题目服务是php-S启动的。因为是先解压再检验文件后缀，所以可以用解压失败来绕过。以admin身份登录，拿到读文件的权限。找到一个比较干净的触发eval的类。find提权拿flag。bp把自动更新长度关掉。

2025-01-19 20:33:26 1799

原创【Web】2025西湖论剑·中国杭州网络安全安全技能大赛题解(全)

本地起一个服务，折半查找fuzz黑名单，不断扔给fenjing去迭代改payload。本地搭一个服务查看替换后拼接的sql语句，发现成功闭合。username存在报错回显，发现可以打SSTI。逗号的绕过参考ctfshowweb344。引号被ban只要用前面自带的引号就行。replace的绕过参考。打入，下载flag文件。

2025-01-18 20:00:00 4320 1

原创【adb】5分钟入门adb操作安卓设备

是一个多功能的命令行工具，用于与 Android 设备进行交互、调试和管理。它提供了对设备的直接控制，能够帮助开发者进行调试、安装应用、传输文件等。ADB 通过 USB 或者 Wi-Fi 连接 Android 设备与计算机。首先需要启用设备的“开发者选项”和“USB 调试”。然后，通过 USB 数据线连接设备并使用 adb devices 命令检查设备是否已正确连接。ADB 会在后台启动守护进程，并通过设备上的调试端口与电脑进行通信。这里教一下adb怎么用wifi连接手机。

2025-01-08 21:14:15 1399

原创【APP】5分钟上手基于BurpSuite的APP抓包

ipconfig -all查看电脑在WLAN下的IP。bp设置监听的端口和ip，ip设置为上一步看到的ip。在设置中搜索证书，按步骤安装证书。在wifi处设置代理为bp监听。手机和电脑连上同一个wifi。这里为10.0.23.80。der后缀改为cer。

2025-01-07 17:28:19 515

原创【Web】软件系统安全赛CachedVisitor——记一次二开工具的经历

题目预设的visit.script是与内网的redis通信，可以打用gopher协议打redis任意文件写，但题目没有计划任务，考虑直接覆写/scripts/visit.script。大概描述一下：从main.lua加载一段visit.script中被##LUA_START##(.-)##LUA_END##包裹的lua代码。因为有##LUA_START##(.-)##LUA_END##包裹，所以不会被脏数据影响。直接用redis-over-gopher一直打不通。CachedVisitor这题。

2025-01-05 23:00:10 723 2

原创【供应链安全】对了解供应链安全的扫盲

涵盖所有参与产品或服务生命周期的环节，包括供应商、制造商、分销商、服务提供商和最终用户。

2025-01-05 16:10:29 1790

原创【Web】极简&快速入门Vue 3

props: {</script><template><p>父组件值：{{ parentValue }}</p><script>data() {return {

2025-01-04 16:45:17 1070

原创【小程序】5分钟快速入门抓包微信小程序

随便启动个微信小程序，任务管理器中看到小程序进程：WeChatAppEx.exe。创建代理规则，让WeChatAppEx.exe走设置的bp的代理。期末周无聊，抽点时间看看小程序渗透，先讲下微信小程序的抓包。bp先开个端口代理，演示用的8080(懒得再导证书)工具：Burpsuite+Proxifier。应用规则，别的规则设置为Direct直连。Proxifier设置好bp的代理。

2025-01-03 17:49:10 3098 1

原创【Web】2024“国城杯”网络安全挑战大赛决赛题解(全)

最近在忙联通的安全准入测试，很少有时间看CTF了，今晚抽点时间回顾下上周线下的题(期末还没开始复习😢)感觉做渗透测试一半的时间在和甲方掰扯&水垃圾洞，没啥惊喜感，还是CTF有意思。

2024-12-24 22:24:06 1907

原创【Web】captcha-killer-modified插件在CTF中的应用示例

账号用d3f4u1t，密码用字典爆，验证码用BP插件识别。访问./Fl4g_is_h3r3/login.php。访问./www.zip拿到一个密码爆破字典。翻找找到管理员用户d3f4u1t和测试路径。扫一下/Fl4g_is_h3r3子目录。爆出来密码是princess!注意爆破进程调小一点。

2024-12-13 17:24:54 532

原创【Web】2024“国城杯”网络安全挑战大赛题解

因为是GET传参，为尽量缩短payload长度，我们的base64_payload要用最短webshell<?不能有.点号，用attr过滤器来绕过，为了方便执行命令，用request.POST.get()获取请求参数。base64解码拿到admin.php源码，发现需要以admin登录才能使用SSRF功能。我的vps是裸IP，所以用Cloudflare Worker的临时域名来起个服务。访问/.index.php.swp下载index.php.swp。尝试二次编码绕过读到admin.php。

2024-12-10 07:33:44 2648 2

原创【LLM】NSSCTF Round#25 Basic大模型Prompt挑战全解

目录大模型Prompt挑战一大模型Prompt挑战二大模型Prompt挑战三大模型Prompt挑战四大模型Prompt挑战五大模型Prompt挑战六大模型Prompt挑战七大模型Prompt挑战八大模型Prompt挑战九

2024-12-09 12:10:45 972 2

原创【Web】2023安洵杯第六届网络安全挑战赛 WP

匿名函数在创建后,函数变量会存储一个值从lambda_1开始,数字不断增大的字符串,且每创建一次,这个字符串数字部分都会增大,除非结束php的进程,刷新网页仍会继续计数。第一段正则用于匹配以 include 结尾的字符串，并且在 include 之前，可以有任意多个 5 个字符组成的块。如果 $d0g3 的长度等于 $miao 字符串的最后两个字符的值，且 $name 严格等于 $miao的值。可以污染下面的值来利用render_template_string去RCE。再SplFileObject读文件。

2024-12-07 23:24:32 1718

原创【Web】复现n00bzCTF2024 web题解(全)

访问./3c68e6cc-15a7-59d4-823c-e7563bbb326c拿到flag。那么我们可以用恶意文件覆盖/etc/cron.custom/cleanup-cron。先用路径穿越覆盖/etc/cron.custom/cleanup-cron。），则攻击者可以将文件解压到任意目录，甚至覆盖系统中的敏感文件。同理上传生成的tar，读dummy.txt拿到flag。再用软链接读/app/ls.txt。生成一个恶意的tar文件，上传。点击View会显示一张图片。再生成恶意tar包，上传。

2024-12-06 02:01:34 1292

原创【Web】AlpacaHack Round 7 (Web) 题解

flag在md5值拼接flagtxt的文件里，如访问已经存在的目录状态码是301访问不存在的目录状态码是404基于此差异可以写爆破脚本这段waf可以用url编码绕过做个lab可以看到express的req.url直接取到了原始路径gpt搓一个脚本脚本跑出来的路径再拼接/f/l/a/g/t/x/t的url编码拿到flag。

2024-12-06 02:00:47 578

原创【内网渗透】最简明的ATT&CK实战 | Vulnstack 红队（二）

上传的目录是C:\Oracle\Middleware\user_projects\domains\base_domain。PC外网ip: 192.168.111.201 内网ip:10.10.10.201。WEB外网ip:192.168.111.80 内网ip:10.10.10.80。内网扫出来，可以看到201和10都可以打永恒之蓝。拿到shell，顺带getsystem提权。weblogic一把梭工具梭开。关掉防火墙，下载msf马，执行。kiwi模块也犯病跑不出来。尝试打永恒之蓝，均失败。

2024-12-05 02:46:37 586

原创【内网渗透】最简明的ATT&CK实战 | Vulnstack 红队（一）

win7 外网ip:192.168.152.130 内网ip:192.168.52.143。直接永恒之蓝梭掉(这里先只梭DC吧，拿到域控再PTH，有意思一点)可以看到不能into outfile写马。直接拿域管的hash打pth拿下141。root:root登录后可以操作数据库。传fscan和frp，扫内网，搭代理。看到141和138都有永恒之蓝可以打。入口机是个phpStudy探针。访问/phpmyadmin。dirsearch开扫。执行正向shell马。msf拿到shell。在win7靶机上运行。

2024-12-03 22:41:30 563

原创【LLM】Langchain+RAG大模型学习笔记

LangChain 是一个用于构建基于语言模型应用的开源框架，它帮助开发者将大语言模型（如 OpenAI 的 GPT）与外部数据源、工具、数据库、API 等集成，从而构建更为复杂、智能和实用的应用。：将多个操作或模型调用按顺序链接在一起。开发者可以组合语言模型与其他工具（如数据库、API 或外部应用程序），以实现更复杂的任务。：LangChain 允许创建智能代理，代理可以根据特定的任务或输入条件动态地选择和调用不同的工具或模型。这使得开发者能够构建能够自动执行多步骤决策的智能系统。

2024-12-02 01:32:11 1271

原创【内网渗透】最保姆级的2022网鼎杯半决赛复盘打靶笔记

蚁剑连接./wp-content/themes/twentytwentyone/header.php。利用上面生成的 pfx 证书配置域控的 RBCD 给上面创建的HACK$接下来打打ADCS，这里是CVE-2022-26923。/tmp目录下传fscan和frp，扫内网，搭隧道。先把24的MS17-010永恒之蓝打了。弱口令admin:123456登录。弱口令admin:123456登录。172.22.15.26 本机。访问./wp-admin。之后手动标注一下域用户名。dirsearch开扫。

2024-11-01 00:33:57 1532

原创【内网渗透】最保姆级的春秋云镜Hospital打靶笔记

上传至 web01 服务器（flag01 那台），web01 上开启 python 服务。访问/actuator/heapdump下载到heapdump文件。finalshell连接，这样就可以随时访问，传文件也方便。后续需要用psql提权，所以先改一下root密码。发现新的资产不同于之前的网段，需要搭建多层代理。在web3上运行(只有v1.1版本可以)不能直接读flag文件，走suid提权。拿shiro一把梭工具梭开注入内存马。vim.basic提权读到flag1。vim.basic提权到root。

2024-10-31 02:38:58 1621 1

原创【内网渗透】最保姆级的春秋云镜Spoofing打靶笔记

抓到一个zhanghui用户的哈希1232126b24cdf8c9bd2f788a9d7c7ed1，他在MA_Admin组，对computer能够创建对象，能向域中添加机器账户，所以能打noPac。用之前172.22.11.45上抓的机器账户XR-DESKTOP$哈希打172.22.11.26的RBCD，申请ST票据。开启ntlmrelayx，利用前面拿下的XR-Desktop作为恶意机器账户设置RBCD，接着使用。wget下载fscan和frp，搭代理扫内网。curl一下，发现确实被本地kali接收到。

2024-10-17 00:44:37 1119

原创【Web】portswigger 服务端原型污染 labs 全解

JavaScript 原本是一种运行在浏览器上的客户端语言，但随着 Node.js 等服务端运行时的出现，JavaScript 被广泛用于构建服务器、API 和其他后端应用，从逻辑上讲，这也意味着原型污染漏洞也有可能出现在服务端环境中。虽然基本概念大致相同，但识别服务器端原型污染漏洞并将其开发为可利用的漏洞的过程带来了一些额外的挑战。在本节中，您将学习多种黑盒检测服务器端原型污染的技术。我们将介绍如何高效且无损地进行检测，然后使用交互式、故意设置漏洞的实验室来演示如何利用原型污染进行远程代码执行。

2024-10-04 12:09:20 1975 1

原创【NoSQL】portswigger NoSQL注入 labs 全解

NoSQL 数据库以不同于传统 SQL 关系表的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此，它们的关系约束和一致性检查通常比 SQL 少，并且在可扩展性、灵活性和性能方面具有显著优势。与 SQL 数据库一样，用户使用应用程序传递给数据库的查询与 NoSQL 数据库中的数据进行交互。但是，不同的 NoSQL 数据库使用各种查询语言，而不是像 SQL（结构化查询语言）这样的通用标准。这可能是自定义查询语言或 XML 或 JSON 等通用语言。

2024-10-03 22:20:10 2073 3

原创【JWT安全】portswigger JWT labs 全解

根据设计，服务器通常不会存储有关其发出的 JWT 的任何信息。相反，每个令牌都是一个完全独立的实体。这有几个优点，但也带来了一个根本问题 - 服务器实际上不知道令牌的原始内容，甚至不知道原始签名是什么。因此，如果服务器没有正确验证签名，就无法阻止攻击者对令牌的其余部分进行任意更改。如果服务器根据此来识别会话username，则修改其值可能会使攻击者能够冒充其他登录用户。同样，如果该isAdmin值用于访问控制，则可能为特权升级提供一个简单的payload。

2024-10-02 20:56:12 2719 1

原创【内网渗透】最保姆级的春秋云镜Flarum打靶笔记

psexec无密码连上FILESERVER，拿到SYSTEM权限(psexec自带提权效果)发现zhangxin用户是ACCOUNT OPERATORS组的，可以打RBCD。rockyou.txt爆出administrator/1chris，登录。切到/tmp目录下wget下载fscan和frp，扫内网搭隧道。直接secretsdump，先导出SYSTEM的hash。读到一个用户表，dump下来并处理成users.txt。用phar协议触发反序列化，反弹shell。但因为靶机配置原因没连上去。

2024-10-01 22:38:04 1088

原创【API安全】crAPI靶场全解

目录BOLA VulnerabilitiesChallenge 1 - Access details of another user’s vehicleChallenge 2 - Access mechanic reports of other usersBroken User AuthenticationChallenge 3 - Reset the password of a different userExcessive Data ExposureChallenge 4 - Find an API e

2024-09-27 13:19:45 1590

空空如也

空空如也