- 博客(111)
- 收藏
- 关注
RSS订阅原创 2025鹏城杯 Web
根据它的描述,会先对上传的文件进行内容安全检测,违规文件进行删除,那么在检测到删除之前就会存在一个时间差,通过这个时间差进行一个条件竞争的利用,也就是在删除直接进行访问执行命令。),通常会返回 401 Unauthorized,这说明我们没有权限,而且想要注册一个admin用户也不行,后面发现如果不登录的话,可以直接未授权的访问这些接口。在初始的让ai写了个脚本进行竞争测试的时候,发现在访问php文件的时候会返回403的状态码,也就是说后台可能存在相应的策略不让访问php文件。用作文件上传的存储根目录。
2025-12-16 22:14:11
1026
原创 【代码审计】MCMS-5.2.8
检测到xss的攻击,但是没有进行任何的处理,直接将content原样拼接到异常消息中,这个异常消息最终被包装成http响应返回给前端,导致了xss的攻击。但后续会获取当前的网站根目录,然后直接拼接路径,也就是说可以将文件写入到网站的根目录下面,而不是原本的默认的模板下面。通过查找调用链,可以看到有四个地方调用了这个方法,一个一个的查看用法,是否存在可以利用的地方。上传zip压缩包,然后抓包,修改上传文件,有返回上传路径,但无法进行目录穿越的利用。
2025-10-15 01:05:50
1024
原创 【Java安全】CC1链
现在这个poc就可以正常执行命令,弹出计算器了return obj;当然,其实这里还有一个注意点就是在readObject里面它调用setValue()方法里面参数是已经写死了为,也就是说我们没法控制setValue的参数,那么是怎么调用到Runtime的实例对象的呢?这个就是的作用了,前面也说了,无论传入的对象是什么,返回的对象永远是iConstant可以看到调试的页面里面,即使传入的对象无法改变,只能是。
2025-07-31 22:24:57
853
原创 【java 安全】 IO流
IO是指 Input/Output,即输入和输出。Input指从外部读入数据到内存,例如把文件从磁盘读取到内存,从网络读取数据到内存等等。Output指把数据从内存输出到外部,例如把数据从内存写入到文件,把数据从内存输出到网络等等。为什么要把数据读到内存才能处理这些数据?因为代码是在内存中运行的,数据也必须读到内存,最终的表示方式无非是 byte[ ]数组,字符串等,都必须存放在内存里。
2025-07-18 23:08:14
934
原创 2025 L3HCTF gateway_advance
获取uri参数,只能获取前100个参数,当提交第101个参数时,uri参数溢出,无法正确获取第100以后的参数值,无法对攻击者提交的第100个以后的参数进行有效安全检测,从而绕过安全防御。(AI还是厉害,前面写的一个脚本还得自己一个一个的把地址复制进去,运行又慢,这个十几秒就解决了)的功能点,对url的参数存在黑名单过滤,对读取的文件的内容也存在黑名单过滤。每次请求返回一小块内容,这样就无法检查到黑名单里面的字符串,也就不会替换为。的,它的文件句柄没有关,所以是可以通过。文件是close了的,而打开的。
2025-07-16 20:27:48
791
原创 [Java安全】JDK 动态代理
然后是动态代理的实现类: UserProxyInvocationHandler.java。提供了创建动态代理类的和实例的静态方法,它也是由这个方法所创建的动态代理类的超类。返回指定接口的代理类的实例,该接口将 方法调用 分派给指定的 调用处理程序。,我们最理想的情况是 A[O] -> O.f,那么我们将传进去的参数。动态代理类是一个实现 在类创建时 在运行时指定的接口列表的类。动态代理对象调用方法时,其所有的方法调用都会自动路由到。利用反序列化的漏洞,是需要一个入口类的。代理接口是由代理类实现的接口。
2025-07-16 20:20:09
733
原创 2025 春秋杯夏季个人挑战赛 Web
函数的返回值污染为true,拿到admin的身份就可以得到flag, 一直没成功,似乎只能改变。(POST里面的参数除了那个a就只能是0和1,如果是其他的字符或数字都会报错)ruby的题目做的比较少,开始一直以为这道题是要类似于js里面的原型链污染,把。是一个$_POST数组,这样传参上去无法执行,一直报错。这个php的pop链很简单,主要是如何利用。必须要是内置类或者内置类里面的静态方法,变量的值,后面才知道是erb模板注入。这样虽然会报错,但也可以执行命令。变量的值执行命令,然后查看。
2025-07-14 20:10:15
730
2
原创 2025 R3CTF
PHP 8.2 开始禁止动态创建类中未定义的属性,当尝试设置动态属性的时候就会触发一个弃用的警告,并且会显示出属性名。在php中,未被双引号包裹的字符串会被定义为常量,若是找不到这个常量就会被自动转化成字符串。那么只需要找一个php的内置类,并且是可序列化的,动态添加属性进行报错就行了。试着传入一个xss的payload, 但是浏览器好像并没有解析,没有弹窗。就可以读取这个文件的内容,虽然会有警告,但是依然会往下执行。的这种文件的,这种文件会被当成两个字符串通过。比如我在当前目录新建一个flag的文件,
2025-07-14 20:02:10
803
2
原创 【Java安全】RMI基础
RMI 全称 Remote Method Invocation(远程方法调用),即在一个 JVM 中 Java 程序调用在另一个远程 JVM 中运行的 Java 程序,这个远程 JVM 既可以在同一台实体机上,也可以在不同的实体机上,两者之间通过网络进行通信。:远程接口需要定义一个接口,继承自,表明可以被远程对象调用的方法。远程调用可能发生网络异常 , 所以每个方法都必须显式抛出:远程接口的具体实现一般需要继承类, 将对象导出成一个可以通过 TCP 调用的远程对象Server。
2025-07-08 21:09:51
1620
原创 【Java安全】反射基础
在调用 newInstance 的时候,因为这个函数本身接收的是一个可变长参数,我们传给 ProcessBuilder 的也是一个可变长参数,二者叠加为一个二维数组。第⼆个参数表示是否初始化;这些动态的执行方法也给程序带来了危险性, 即使上下文中只有一个数字, 也可以通过反射来获取可以执行命令的Runtime类。对于可变长参数, Java在编译的时候会编译成一个数组 , 也就是这两种写法在底层是等价的(不能重载)如果传入的是一维数组会报 参数类型不匹配 的错误, Java的自动拆包, 编译器会自动。
2025-07-07 20:08:48
1029
原创 Java JDBC的初步了解
PreparedStatement其sql语句是在其获取命令执行对象时就以及写入了预编译语句。需要注意的是所得到的ResultSet类的实例,其初始的索引是不在第一行的,我们想获取内容需要先使用next使得索引内移。是 Java JDBC(Java Database Connectivity)API 的核心类之一,它负责。功能: 提供统一的方式访问关系型数据库(如 MySQL、Oracle、PostgreSQL 等)。定义: JDBC 是 Java 语言中用于连接和执行 SQL 操作的标准接口。
2025-07-06 22:20:23
991
原创 Java 入门
修饰符 返回值类型 方法名(参数类型 参数名){...方法体...return 返回值;在当前类可以直接调用, 在其他的类里面也可以直接通过类名.方法名调用//当前类调用静态方法return a+b;如果定义的方法没有static, 要使用这个方法就需要通过new实例化对象, 然后再调用方法//调用非静态方法return a+b;
2025-07-04 20:11:15
780
原创 第三届京麒CTF Web
修改前端的disable属性, 将其删除, 使得可以更改输入框的内容, 变为可控。等进行执行, 那么就可以通过构造payload进行rce。不断测试, 可以发现通过这个payload可以rce。输入表达式可以执行计算操作, 大概代码里面是使用了。xss的题目还有待复现, 感觉好难 ><查看环境变量可以拿到flag。
2025-05-26 21:45:35
369
原创 “轩辕杯“云盾砺剑CTF挑战赛 Web wp
的路由,三本书的路由是一样的, 但是内容不一样, 可能是存在POST传了其他的参数, 抓一下包就可以发现, 直接任意文件读, 可以直接读到flag, 直接非预期了。看到它上传文件的逻辑, 先把文件保存下来之后去检查它的文件内容, 如果有不合法的字符, 就把文件给删除, 这里很明显可以进行一个竞争去绕过它的字符过滤。发现可以执行一些内置函数的操作, 想要查询却查不了, 试了了很久, 后面想到可以通过。(或者代码里面的其他的html文件都可以), 让它的内容为ssti的rce, 这样在。
2025-05-26 21:38:08
1490
原创 [春秋云镜] Spoofing仿真场景
在这里插入代码片Spoofing是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。CVE-2020-1983 Tomcat文件包含MS17-010RBCDnoPac。
2025-05-20 23:36:38
1555
原创 [[春秋云境] Privilege仿真场景
在这个靶场中,您将扮演一名资深黑客,被雇佣来评估虚构公司 XR Shop 的网络安全。您需要通过渗透测试逐个击破公司暴露在公网的应用,并通过后渗透技巧深入 XR Shop 的内部网络,寻找潜在的弱点和漏洞,并通过滥用 Windows 特权获取管理员权限,最终并获取隐藏在其内部的核心机密。该靶场共有 4 个 Flag,分布于不同的靶机。考点信息泄露Jenkins初始管理员密码jenkins后台RCEOracle RCESeRestorePrivilege提权SPN。
2025-05-19 23:31:40
1176
原创 [ 春秋云镜 ] Certify仿真场景
Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。考点grc提权SMB密码喷洒spnADCS ESC1。
2025-05-13 01:44:07
1989
原创 [春秋云境] Delegation仿真场景
Delegation是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。diff提权rdp密码爆破注册表提权-服务配置(ImagePath)DFSCoerce强制域认证+非约束性委派。
2025-05-11 03:08:03
1363
原创 [春秋云镜] Brute4Road 仿真场景
Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。redis主从复制rcebase64命令提权sweetpotato提权约束性委派。
2025-05-09 15:17:56
1606
原创 2025ACTF Web部分题解
但是admin的密码和key在secret.py里面, 而这里也不存在文件读取的漏洞, 所以无法获取key和密码。后面看其他佬的wp, 原来要用到sql注入来伪造邮件来源, 不过感觉还是没太看懂其他那些, 也没有环境复现了。前面登录随便输入可以进入文件上传页面, 随便上传一张图片, 发现路由存在。构造出admin的session(自己本地搭一下环境运行一下就可以)分析一下源码需要以admin的用户登录, 可以进行ssti注入rce。ezmail.org连不了, 本地无法调试, 不知道咋弄, 先放弃。
2025-05-06 15:19:58
1253
原创 [ 春秋云镜 ] — Time 仿真场景
Time是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
2025-04-19 16:55:01
2714
原创 2025TGCTF Web WP&&复现
此时另外一个线程也正好就比它晚一点点,对合法的name经过blackJack()检查, 给safe赋值"nil", 那么现在的safe在还没判断之前就从"非法路径"更新为"nil"了, 就通过了 safe!而如果这里的是safe:=blackJack(name), 那么就是每个线程都是自己的独立的变量了, 其他的线程访问不了, 类似于加锁, 就无法条件竞争了。而对于这道题目, 想要拿到flag, 就是要读取文件, 需要路径穿越, 但是有waf, 不让用。
2025-04-18 19:41:17
1504
原创 [春秋云镜] Tsclient仿真场景
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
2025-04-13 23:49:05
1054
原创 NSS#Round30 Web
到这里就可以实现任意文件读取了, 但是不知道为什么用hackbar, 还是burpsuite 还是yakit都无法看到文件读取的内容(本地搭建环境是可以的), 还得是用python来进行请求。(这里给个phpinfo()也可以运行, 要是没有删除环境里面的变量说不定可以拿到, 不过这里是不行了,不知道有没有其他的方法在这里rce)本来想基于这个黑名单的过滤, 本地部署一下让fenjing跑一下来着, 但是一直没跑出来 …通过上传一个文件, PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是。
2025-04-10 20:13:08
1100
原创 [ 取证 ]取证学习,工具使用, 赛题复现
攻击者通过AD CS提权至域管理员,在攻击过程中,攻击者使用有问题的证书模版注册了一张证书,该证书的证书模版名、证书序列号是什么?攻击者在获取域管理员权限后,尝试上传木马文件,但是被杀毒软件查杀,上传的木马文件的绝对路径是什么?查找题目3中持久化程序(下载者)的植入痕迹,计算持久化程序植入时的原始名称MD5(仅计算文件名称字符串MD5),并提交对应flag{MD5)。描述:服务器网站遭到了黑客攻击,但服务器的web日志文件被存放在了加密驱动器中,请解密获得该日志并将黑客ip作为答案提交。
2025-04-02 22:42:56
1005
原创 [ CTFshow ] Java web279-web281
S2-007漏洞一般出现在表单处。当配置了验证规则 -validation.xml 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。Struts2将HTTP的每个参数名解析为OGNL语句执行,而OGNL表达式是通过#来访问struts的对象,Struts2框架虽然过滤了#来进行过滤,但是可以通过unicode编码(u0023)或8进制(43)绕过了安全限制,达到代码执行的效果。#d.read(#e): 读取命令的输出到 #e 数组中。
2025-03-29 21:15:53
981
原创 [ 春秋云境 ] Initial 仿真场景
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。
2025-03-29 17:54:00
1250
原创 2025NCTF--Web
path=environ就可以看到文件内容了, 本地执行成功。调试一下会发现走到这一步, 存在这样的代码 , 不允许key里面存在。的参数, 可以在每个请求期间运行自定义的 Python 代码。这个函数用于获取一个渲染后的模板, 并返回一个字符串迭代器。按照上面的步骤在靶场环境打一遍就可以拿到flag了。因为前一道题的非预期, 这道题把。这里能用的就是第三种, 传入一个。的值, 从而实现任意文件读取。的属性值, 会发现直接返回了。这样的形式, 可以打印一下。执行代码, 还可以使用。这种无法使用, 使用。
2025-03-28 21:07:39
876
原创 [笔记] 数据结构-第九章-检索
/ 找二叉树中的最大值if(LM!max=LM;if(RM!max=RM;return max;// 找二叉树中最小值if(Lm!min=Lm;if(Rm!min=Rm;return min;//判断是否是二叉树(递归)return 1;//空数为二叉树//找左子树的最大值//找右子树的最小值// 如果左子树的最大值大于当前节点的值,或者右子树的最小值小于当前节点的值,则不是二叉排序树return 0;//递归遍历左右子树是否是二叉排序树return 1;
2025-03-21 22:49:47
307
原创 CCB&CISCN复盘
如果想要尝试复现的话可以尝试拉取这个镜像, 我打完之后就直接把这个容器给制作了一下镜像保存了一下, 但我自己并没有去拉取下来看看是否可行, 不过应该是没问题的吧, 毕竟我是复现完把日志删了之后直接就保存下来的。自己搭了一下环境, 复现一下这道题目, 之前比赛的时候完全没想到这个漏洞要怎么打, 修也不知道要怎么修, 就仅仅是对用户名的账号和密码进行了一下过滤, 完全没起到作用, 唉, 实在太菜。拿admin的cookie的作用主要就是为了拿到上传的文件的路径。一天的比赛 ,就这一个成果, 唉。
2025-03-21 22:37:31
1136
原创 [内网渗透] 红日靶场2
在CS先建立监听, 然后生成payload上传到冰蝎上面, 点击运行,也没查看到 (有点奇怪, 不知道为啥会无法查探到另外两台主机)用工具检测一下, 可以发现存在漏洞, 直接利用, 可以执行命令。再添加一个网络, 10.10.10.0 , DHCP也要更改。然后用漏洞检测工具扫一下, 这是一个weblogic的服务。上传一个fscan扫描主机, 但是一直乱码, 就加了个代理。内存马注入, 用冰蝎连接 (之前试了好多, 都没成功)进入web主机 , 可以看到ip地址是。联动msf, 扫描一遍, 也没发现。
2025-03-13 22:54:23
502
原创 [内网渗透] 红日靶场1
然后再直接查询一下, 写入shell (这个查询的操作会被记录到日志里面去, 从而将我们的shell给写入到日志文件里面去, 而日志文件之前也已经被设置为了。可以看到各种的参数, 比如服务器的绝对路径, 甚至最下面还有一个mysql的检测连接, 尝试一些弱口令, 发现root/root可以连接到数据库。进入到数据库了, 还是root的身份, 应该权限很高, 尝试拿shell, 写入文件。跟打域成员主机一样, 用上面的操作可以添加用户, 添加到管理员组, 从而拿下域控主机。
2025-03-11 00:07:13
1063
原创 GHCTF2025--Web
替换为空, 使用了bottle库, 查找一些资料, 发现存在ssti模板注入, 本地搭建环境, 把waf去掉, 可以发现使用。前面一直卡在这, 没办法执行一些函数操作啥的, 就没管了, 后面wp出来之后才知道这是Sqlite注⼊ , 怪我见识短浅了。有点奇怪, 我自己本地试了一下这个cookie是可以被反序列化然后执行的, 但是靶机上一直没成功,可能没有权限还是干嘛。可以执行代码, 但是题目是没有回显的, 所以需要反弹shell, 连上自己的vps。php反序列化, 看似代码很多, 其实大都是没有用的。
2025-03-09 22:04:49
2846
原创 阿里云CTF2025 ---Web
posixsubprocess.fork_exec 是 CPython 内部实现子进程的底层函数,属于 未暴露给标准审计事件 的底层调用。以为是命令啥的有错误, 但是本地试了一下命令是没问题的, 可以写入文件, 可能题目是没有权限写吧, 所以一直没成功。确实没有触发到RuntimeError , 可以执行命令 ,但是因为环境是无回显的, 无法看到执行的命令的结果。, 而常规的那些想要执行系统命令的函数都不在这几个白名单里面, 所以需要绕过。看完wp后发现还可以用通配符来着, 当时给忘了, 有点蠢了。
2025-03-08 21:21:17
997
原创 HGAME2025 Week1
显然是xss类型的题目, 存在/admin路由和/flag路由, 查看/flag显示只能admin查看, 通过xss拿到admin的cookie, 再以admin的cookie替换自己的cookie就可以访问/flag路由拿到flag了。想到覆盖文件, 上传一个app.js文件覆盖之前的app.js文件, 但是也没有用, 没有办法使它执行。有文件上传, 重命名功能, 但是文件上传之后无法查看自己上传的文件, 进过测试可以发现在。上传mortis文件, 再重命名, 刷新一下页面就可以看到flag了。
2025-02-26 21:58:21
994
原创 CISCN&&CCB Web&&Misc
小路是一名实习生,接替公司前任网管的工作,一天发现公司网络出口出现了异常的通信,现需要通过回溯出口流量对异常点位(防火墙)进行定位,并确定异常的设备。现在需要你从网络攻击数据包中找出漏洞攻击的会话,分析会话编写exp或数据包重放获取防火墙设备管理员权限,查找防火墙设备上安装的木马,然后分析木马外联地址和通信密钥以及木马启动项位置。找出受控机防火墙设备中驻留木马的外联域名或IP地址,结果提交形式:flag{xxxx,如flag{wwW.abc.com}或flag16.122.33.44)
2024-12-26 19:19:25
987
原创 2024楚慧杯-Web
说实话第一步就一直卡着了, dirsearch扫了个www.zip , 看到那个load.php, 一直以为是要文件上传(感觉这题目有点抽象,寄)进去一堆图片, 随便翻翻没找到啥东西, 后面发现有个搜索框, 随便输入一点东西发现会回显输入的。分析流量, 可以看到很多的http的流量, 响应的内容基本都加密的, 不过找到了一个密码的字典。使用工具计算 其key值, 再尝试去进行解密, 不过字典内容这么多, 一个一个试特别难。绕过, 根目录下存在flag, 但是没有权限读取, 尝试在环境里面找找可以找到。
2024-12-23 21:28:00
644
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人