qq_41891666的博客

0x 前言最近遇到一些python 沙箱逃逸的问题，突然想起之前群友发了一个关于python2 code对象沙箱逃逸的博客，然后想自己也重新回顾回顾这个方法，同时也想python2 可以利用code 对象沙箱逃逸，那么python3 可不可以呢？抱着好奇心，然后就有了这篇文章。0x 准备知识1.python 中利用code 对象来动态函数的几种方法【本质都是得到Function类，然后使用Fuction类的构造函数】:(1) 通过types.FunctionType 函数python 文档中查看t

0x00 前言上周末打天翼杯，这道题磕了很久。拿到这个题的时候，发现是一个node js 题，于是搜了搜 导入的包，发现 express-jwt 最近爆出一个Bypass 的漏洞 。CVE-2020-15084,利用条件是：https://github.com/auth0/express-jwt/security/advisories/GHSA-6g6m-m6h5-w9gf没有用 algorithms 参数 然后使用jwks-rsa 最为 secret 。好吧，比赛的时候我好像忽略了第二个利用条件

0x00 前言本来是在刷 文件上传的题，然后没想到强网杯这个题打着upload 的幌子其实是个反序列化题，看了看wp 后，觉得很有意思，值得记录一下0x01 题解1.首先用户登录后的 cookie 是一串加密的内容，很可疑，base64 解密之后，发现是序列化的内容2.dirmap 扫目录，扫到源码，/www.tar.gz下载之后发现里面包含源码，以及.idea 文件，phpstorm 打开发现断点，估计是出题人故意留的提示3.审计源码先看两个断点处：login_check() 函数

0x00 前言asp.net 平时接触得少，ctf 中也比较少遇到，之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题，然后在看wp 的时候，又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到，都是利用了viewstate 反序列化来做；然后在查资料的时候，又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞。

0x00 前言这题拿到之后有点懵，后来看了 网上的 wp 更加懵，网上大多数都是直接说 去 compart 搜thousand,然后找个大于1337 的就可以，至于为什么？基本都没有给出解答。于是乎 就有了这篇水文0x01 自找 wp 过程既然网上的wp 基本都没给出一个合理的解释，那么我们就自己去找原因。首先 想这道题要是有源码的话，那么一切都好解决了，于是尝试性地 去 github 搜了搜 ，还真搜到源码了。https://github.com/Tiaonmmn/asis_2019_unicor

0x01 RESP 协议redis 客户端和服务端之间采用RESP 协议来通信，RESP 协议全称 REdis Serialization Protocol理解 Redis 的 RESP 协议搞清RESP 协议，就可以看懂 redis-rogue-server.py 中是怎么构造协议的了，以及怎么把redis 客户端命令转化成 通信时的 数据了0x02 主从复制 中的FULLRESYNC （全局同步）：贴一篇文章，讲到很详细：Redis 全量同步解析也就是说master 回复 +FULLR