克格莫（有需要的私信）

此处仅作代码分析，不涉及环境配置及工具使用。0x00 反序列化带来的安全问题0x01 反射基础知识反射是Java核心特征之一，反射允许运行中的Java程序获取自身的信息，并且可以操作类或对象的内部属性。通过反射在运行时获得程序或程序集中每一个类型的成员和成员的信息, 反射机制可以动态地创建对象并调用其属性，这样的对象的类型在编译期是未知的。所以我们可以通过反射机制直接创建对象，即使这个对象的类型在编译期是未知的。反射的核心是 JVM 在运行时才动态加载类或调用方法/访问属性，它不需要事先（写代码的

1.签到题目：#!/usr/bin/env python# -*- coding: utf-8 -*-from Crypto.Util.number import *import randomflag=b'flag{******************}'n = 2 ** 256e=bytes_to_long(flag)m = random.randint(2, n-1) | 1c = pow(m, e, n) #m mod(e)nprint('m = ' + str(m))prin

1.签到<?phpecho("SangFor{".md5("28-08-30-07-04-20-02-17-23-01-12-19")."}");?>图1是二八定律（28），图2是八卦（8），图3是三十而立（30），图4是北斗七星（07），图5是江南四大才子（04），图6是歼20（20），图7是两个黄鹂（02），图8是一起来看流星雨（一起谐音17），图9是乔丹的球服（23），图10是一马当先（01），图11是十二星座（12），图12是19点播放的新闻联播（19）...

1.签到略。2.[crypto]easymath参考：https://zhuanlan.zhihu.com/p/363648238exp:s_shift = 1862790884563160582365888530869690397667546628710795031544304378154769559410473276482265448754388655981091313419549689169381115573539422545933044902527020209259938095466283

一.安装域控

一直对XXE理解不是很深入，今天仔细研究一下XXE以及CTF里面的XXE题型0x00 XML基本格式XML 文档有自己的一个格式规范，这个格式规范是由 DTD控制的。文档类型定义（DTD）可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于 XML 文档中，也可作为一个外部引用。带有 DTD 的 XML 文档实例：<?xml version="1.0"?><!DOCTYPE note [<!ELEMENT note (

1.签到尝试了一波发现是16进制的base64编码，并且base64编码被反转了。a = 'wIDIgACIgACIgAyIK0wIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMiCNoQD'b='jMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjoQDjACIgACIgACIggDM6EDM6AjMgAzMtMDMtEjM'c='t0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt

1.[第一章 web入门]常见的搜集robots.txt得到一部分flag：flag1:n1book{info_1备份文件index.php~得到第二部分flag:flag2:s_v3ry_im访问.index.php.swp得到第三部分flag:flag3:p0rtant_hack}

1.爱因斯坦binwalk分离出一个压缩包。查看图片备注：解压得到flag。

F12提示得到源码：const salt = random('Aa0', 40);const HashCheck = sha256(sha256(salt + 'admin')).toString();let filter = (data) => { let blackwords = ['alter', 'insert', 'drop', 'delete', 'update', 'convert', 'chr', 'char', 'concat', 'reg', 'to', 'qu

二进制是我的弱项，这里记录一些简单的pwn题。1.test_your_nc

1.Linux Labs这题就是熟悉一下ssh了。登录找到flag.txt:2.Java Sec Code这题有点无语，感觉更像是宣传Java Sec Code这个项目。拿flag:http://057bfb68-fe8f-4ecb-ad38-ad35f029e01b.node3.buuoj.cn/rce/exec?cmd=env题外话，对于学习java漏洞来说，这个github项目确实是很好的，我们不能仅仅局限于拿flag刷分数，更多的是要深入研究代码背后的思想。.

很久没有打Real部分了，今天续上1.[struts2]s2-048

先把这最简单的拿下，将来或许会继续研究reverse1.easyre拖进winhex,直接搜flag：2.

CryptoCTF还是要多做，不然就会吃没见识的亏1.小学生的密码学e(x)=11x+6(mod26)密文：welcylk（flag为base64形式）这题是典型的仿射密码。上代码：然后得到flag{c29yY2VyeQ==}

1.sql扫目录发现check.php。发现是post注入，fuzz一下之后构造以下payload:POST /check.php HTTP/1.1Host: eci-2ze7rwkw5ezzihayuqha.cloudeci1.ichunqiu.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0Accept: text/html,application

话说misc系列可以说是调剂放松了，web和crypto做吐了，就来做点简单的misc放松一下。1.N种方法解决乍一看以为真是个exe，我还拖进IDA看了一波，结果还是吃了没见识的亏，后来IDA无果，拖进winhex看发现是一个图片文件。。。重命名为jpg打开无果，发现文件头后面有个base64，看看文件末尾有等于号，那把中间这一大坨拿出来解码试试：解码出来提示是png了，那把它解码之后的数据转成图片：扫码得到flag。...

1、[CISCN2019 华北赛区 Day2 Web1]Hack World最近多做做sql注入，感觉自己在这一块还是很菜，进去就给了提示flag在flag表的flag字段

1、凯撒？替换？呵呵!凯撒密码一般就是26个字母经过单纯的按字母顺序来位移的加密方法（一般）如：abc=def进阶版的凯撒就不按照字母顺序的加密，等于是一个字母打乱顺序，使用类似密码本的形式对应另一个字母。所以就要经过暴力破解出每一种可能的对应加密。这里使用工具：https://quipqiup.com/我自己打算给出一个脚本，在本地爆破...

1、[极客大挑战 2019]Http不敢置信12世纪了还有这种简单题，我还在拼命扫目录和备份。。。。在secret.php重发http请求头Referer: https://www.Sycsecret.com修改User-Agent为Syclover:这里伪造来源IP添加一个字段X-Forwarded-For: 127.0.0.1拿到flag....

1、RSA1直接上代码：import gmpy2 as gpp = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229q = 12640674973996472769176047937170883420927050821480010581

1、[极客大挑战 2019]EasySQL

这题有点小坑，值得单独写一篇文章分析它的坑。先上flag:

发起一个请求，抓包：将其修改为POST请求：然后放进repeater,假加入payload:写入了一个显示phpinfo的文件，实际操作可以写入一句话。然后访问这个php:拿到flag:

题目：用引号试一下：爆字段数量：1' order by 2;#字段数量为2.接下来使用select会爆一个结果：return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);提示使用正则检索提交的姿势里有没有上述关键字。大小写绕过失败，双写绕过失败。...

题目给了提示：https://github.com/vulhub/vulhub/blob/master/thinkphp/5-rce照上面的POC做就能在phpinfo中找到flag，此处不再赘述。拿到flag之后我想通过这个payload拿一波webshell，故使用以下POC写一句话,先创建一个php文件：http://xxxxxxxxx/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_

攻击机：主机发现：信息收集：端口详细信息:尝试访问80端口，发现其有一web站点可以访问：对url：http://192.168.11.128/storypage_04.php?id=115进行测试，检查是否有SQL注入漏洞：报错，此处应该有注入点。爆破数据库名：得到该数据库的所有数据库名：information_schema,mysql,performance_schema,tcic,test爆当前使用的数据库为tcic：爆表名：

打开看到代码： <?phphighlight_file("index.php");if(preg_match("/flag/i", $_GET["ip"])){ die("no flag");}system("ping -c 3 $_GET[ip]");?> 这是命令执行，试了试可以执行ls命令：http://39.96.23.228:10002/index.php?ip=;ls但是过滤了cat vi vim和"flag"关键字，因此构造payl

我们刚刚拦截了，敌军的文件传输获取一份机密文件，请君速速破解。下载下来是个txt,里面一串神秘代码：504B03040A0001080000626D0A49F4B5091F1E0000001200000008000000666C61672E7478746C9F170D35D0A45826A03E161FB96870EDDFC7C89A11862F9199B4CD78E7504B01023F000A0001080000626D0A49F4B5091F1E00000012000000080024000

下载下来查看html源码和js源码：<html> <head> <title>Flag in your Hand</title> <style type="text/css"> body { padding-left: 30%; } #flag { font-family: Garamond, serif; font-size: 36px; } #flagtitle {

0x00下载下来是一个apk，拖进模拟器运行一下，是一个输入框，输入flag然后检查flag是否正确。改后缀为zip后使用dex2jar反编译得到一个classes-dex2jar.jar。0x01将这个jar拖进jd-gui查看一波反编译出来的java代码，得到如下核心代码：protected static boolean checkflag(String paramStr...

1.base64直接拿去base64 decode就行：cyberpeace{Welcome_to_new_World!}2.Caesar这题凯撒密码。分别设置位移量为1-25，输出25条结果后看到位移量为12时有意义，故位移量为12：cyberpeace{you_have_learned_caesar_encryption}...

1.签到玩完游戏，打开控制台查看js输出就有flag。2.Crypto之boom直接将exe拖进IDA,无脑F5得到伪代码，计算两个方程一个md5，拼起来就是flag

0x00感觉自己还是太菜了0x01爆破数据库名：测试WAF过滤了=<>select此处直接给出注数据库名的脚本：def http_blindTime_get(url,payload): #记录发包时间 starttime = time.time() result = requests.get(url+payload) #记录收包时间 ...

安卓题的native是真的多。。。。。将APK上JEB:看onclick方法：public void onGoClick(View arg5) { if(this.getSecret(this.getFlag()).equals(this.getSecret(this.encrypt(this.etFlag.getText().toString())))) { ...

拖进模拟器是一个验证框，我们直接上jeb:调用本地方法public static native int CheckString(String arg0)，若验证一致返回1，否则返回0.将apk重命名为zip后解压，在lib目录将.so文件拖进IDA,找到函数CheckString,代码如下：_BOOL4 __cdecl Java_com_testjava_jack_pingan2_c...

0x00反编译apk拖进JEB2看看：点击MainActivity.classpackage com.a.easyjava;import android.content.Context;import android.os.Bundle;import android.support.v7.app.c;import android.view.View$OnClickListen...

0x00下载附件下载下来是一个AB文件，百度了一下ab文件，一些分析文章说该格式是一个安卓备份文件，分为有加密与无加密两种。

0x00拖进模拟器查看：0x01上dex2jar：查看MainActivity.class:package com.tencent.testvuln;import android.annotation.SuppressLint;import android.app.Activity;import android.content.Context;import androi...

0x01上dex2jar:得到关键代码：private boolean a(String paramString) { try { return ncheck((new a()).a(paramString.getBytes())); } catch (Exception exception) { return false; } }...