The_Epiphany的博客

原创 log4j2漏洞复现

1.该漏洞的主要成因是LDAP对外部站点资源的访问，导致下载恶意代码，可以禁止lookup的出栈查询。2.对"jndi:ladp://"、“jndi:rmi”等特征字符过滤。3.限制对外网的访问。4.配置jndi可调用协议。

原创 SSTI模板注入个人解读

object</font></font>。- 魔术方法:于是乎如果我们就可以有这样一个想法，<font color="#ffff00">子->object->子</font>，这样我们就能访问我们本无法访问的函数等等，这一过程中所用到的函数就是魔术方法，<font color="#ffff00">例如__class__

原创 Pearcmd.php

pecl是PHP中用于管理扩展而使用的命令行工具，而pear是pecl依赖的类库。2.我们要知道pearcmd.php的路径，因为实质上我们是想要先去包含pearcmd.php文件，进而实现pear命令调用，然后写入恶意文件。最终我们将恶意代码插入到了/tmp/shell.php中，最后包含/tmp/shell.php文件即可。`==这段代码，其会将query-string中的值赋给argv，实际上是将?*（一个开源的应用容器引擎）任意版本镜像中，pcel/pear都会被默认安装，默认路径==`

原创 布尔盲注(SQL)

GET在网上看了各个师傅们的代码，结合写了一下，提高输出效率又尽可能的使代码简约GET。

原创 [网鼎杯 2020 朱雀组]phpweb

对其内部定义的Test类，且没有过滤unserialize()，所以我们可以尝试构造反序列化内容绕过waf实现rce。发现了两个参数，一眼顶针，是php中的data()函数及其参数，尝试rce。结果当前目录和根目录都没找到flag，那就只能查找了。system、eval、popen等函数都被过滤。1.打开题目发现一直在刷新，那就抓下包。一道有关命令执行、反序列化的题目。

原创 [BSidesCF 2020]Had a bad day

一道简单的关于PHP伪协议的题目，正好总结一下文件包含?这也解释了为什么直接传入file=index会失败的原因，对strpos()函数会返回所查找子字符串第一个字母的下标，若无则返回false4.构造最终payload。

原创 [网鼎杯 2018]Fakebook

需要注意的是blog不能随便添加，这里以bilibil.com为例子成功添加。非常好题目，使我大脑旋转，居然能将注入与反序列化结合，出题师傅真是绝顶！//file是本地文本传输协议，对地址来源可以观察Notice给出的。注意：序列化内容要在4号位置，这由column的顺序决定。blog已经改变，查看源码，找到底部链接即可获得flag。no为1，在结合页面展示内容，自然可转到sql注入。爆出no,username,passwd,data。通过构造blog序列化内容，实现本地文件读取。爆出'users'表。

原创 SSTI模板判断

原创 [WUSTCTF 2020]朴实无华

在本题中PHP版本为5.6.40，若传入value为“1e4”第一次会被识别为字符串，返回值为1，后+1时会被识别为数字，返回1e4+1。如果字符串包括了 "0x" (或 "0X") 的前缀，使用 16 进制 (hex)；如果字符串以 "0b" (或 "0B") 开头，使用 2 进制 (binary)；如果字符串以 "0" 开始，使用 8 进制(octal)；很综合的一道题，虽然比较简单，但是可以用来进行知识巩固，不多逼逼直接开始。弱相等，原理是比较时截断，前保留后丢弃。反斜线:即转义字符;

原创 [羊城杯 2020]easycon

一.打开题目看的莫名其妙，看看源码也没看出什么，就扫一扫目录，扫到了index.php。base64解码一下,看到头部有JFIF,说明是图片编码来的,那就重新转为图片。得嘞，直接看cmd=system('cat bbbbbbbbb.txt');三.那就直接执行命令,post传参 cmd=system('ls');萌新写给自己看，第一次遇到这样的感觉有点意思。二.打开index.php，立刻弹出了。

原创 常见的备份文件后缀，涉及信息搜集类题目

.git .svn .swp .~ .bak .bash_history

原创 [RoarCTF 2019]Easy Calc1

发现屏蔽了[]，一句话木马用不上了，那就phpinfo()看看。发现失败,在这卡了半天去看了看师傅们的wp，说是用到PHP字符串解析的特点具体可看。温馨提示了有WAF，接着往下看看到一个calc.php。接下来就能正常写了，构造命令。