A day in AsaL1n

2024 ciscn各赛区决赛复现(未完) 感谢很多师傅 拿到了很多赛区的附件 还好是awdp 能拿到附件 西南赛区ezssti 存在Velocity模板注入,day month 可以控制 注意到mouth存在简单的waf 判断是否为空如果不为空,直接使用Integer.parseInt进行强制类型转换 转换成数字 注意到 day参数没有waf 直接打就行 12#set($e="e")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc") flaskweb存在ssti注入 注意到加入的路径 aes解密一次之后直接渲染 aes密钥已经给出 直接一把梭就行 添加路劲即可rce ssrf2rce满足正则就行 1http://ciscn.asa?@127.0.0.1/flag.php/look 得到lag.php出来 能看到存在如下文件 访问 源 ...

spel表达式注入spel在Spring 3 中引入了 Spring 表达式语言 （Spring Expression Language，简称SpEL） 在Spring系列产品中，SpEL是表达式计算的基础，实现了与Spring生态系统所有产品无缝对接。Spring框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系，而SpEL可以方便快捷的对ApplicationContext中的Bean进行属性的装配和提取。由于它能够在运行时动态分配值，因此可以为我们节省大量Java代码。 使用Bean的ID来引用Bean 可调用方法和访问对象的属性 可对值进行算数、关系和逻辑运算 可使用正则表达式进行匹配 可进行集合操作 spel基础导入依赖 12345678910<dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> <version>5.3.21</vers ...

python沙箱栈帧逃逸生成器生成器（Generator）是 Python 中一种特殊的迭代器，它可以通过简单的函数和表达式来创建。生成器的主要特点是能够逐个产生值，并且在每次生成值后保留当前的状态，以便下次调用时可以继续生成值。 12345678def f(): b=114 while True: yield b b+=514f=f()print(next(f)) print(next(f)) 运行结果如下 运行的时候 b的值是114 运行到yield的时候 会中断 yield 用于产生一个值，并在保留当前状态的同时暂停函数的执行。当下一次调用生成器时，函数会从上次暂停的位置继续执行，直到遇到下一个 yield 语句或者函数结束。 12345678def f(): b=114 for i in range(10): yield b b+=if=f()for i in f: print(i) 如果不用next函数逐步执行 生成器会直接运行相关的所有值 一次性全部输出 生成器的相关属性123 ...

从 2024CISCN华东南决赛bigfish看nodejs反序列化（CVE-2017-5941） 可惜不是联网环境 很简单的cve 简单学习下 赛后拿到附件先着手开始分析 先把相关的依赖全部装上 1npm install 刚刚装好就看到好多漏洞了 不少高危的 拿npm audit审计一下依赖看看 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293PS D:\Desktop\2024-CISCN-华东南-web\Web-bigfish> npm audit# npm audit reportexpress-jwt <=7.7.7 || 8.3.0Severity: highAuthorization bypass in express-jwt - https://g ...

期末周终于结束了 也开始有时间做自己喜欢的事情了 先水一篇 2024ciscn 华东南赛区半决赛-web 学习welcome submit存在两个检验 一个header检验 一个文件内容检验 上传一个变形后门就行 上传链接得到flag 粗心的程序员www.zip存在文件泄露 审计源码 主要问题出现在home.php内 很明显的文件写入 这里可以写入恶意命令到comfig.php内造成命令执行 注意到存在两个可以控制的点 $p和$username 闭合后缀注意到存在//作为注释符号限制了我们的恶意代码 但是注意到confige.php里面不存在?> 可以使用伪造xff 包含？> 绕过限制 构造用户名字为?><?php 绕过对xff的限制 xff写入一句话木马即可 /r截断 但是上面那个我铸币了 比赛的时候没做出来 本来想的是\n 可以绕过 但是发现对str处理了 去掉了\n 于是我就想到了\r这个符号 12\r ：将当前位置移到本行开头。又叫回车，对应键盘上的return键\n：将当前位置移到下一行开头。又叫换行，n ...

2024 CISCN WEB 部分wp 很可惜 差一点点解出ezjava 之后花时间好好研究一下 py的栈帧绕过也是完全没见过 学到了很多新东西 又是被二进制爷带飞的两天 Simple_php12345if(isset($_POST['cmd'])){    $cmd = escapeshellcmd($_POST['cmd']);      if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|ping|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|{|}|tar|zip|gcc|uniq|vi|vim|file|xxd|base64|date|bash|env|\?|wget|\'|\"|id|whoami/i', $cmd)) {         ...

长城杯 awd 学习 由于学校不报销相关的比赛 很可惜没有去到广州参加这次线下赛 在别的师傅手上拿到了一些附件 只能本地审计下学习 教务系统jsp构建的网站 后门老样子 直接上d盾 forget.jsp存在rce 一个很明显的jsp马 未授权的文件上传接口出现在/teacher/personal.jsp 这个upload_Teacher接口没有任何权限鉴定就可以直接上传文件 直接可以打文件上传 访问//userImg/shell.jsp即可执行命令 DocToolkitjava的项目 idea反编译看看 后门注意到 存在直接的后门 shiro反序列化注意到是低版本的shiro 直接给出了shirokey 直接脚本跑就好了 CMS还是php顺手 拿到手检查下 后门d盾一扫就扫出来了 文件读取在Ajax.php下存在任意文件读取 这里可以直接目录穿越读取文件 最近太忙了 水一篇博客

Hack the box 一时兴起 想玩玩htb 顺便学点渗透的基础知识 Meow 我使用的是openvpn openvpn连接之后 先尝试下ping 看看能不能ping通 能ping通 nmap扫描一下 扫描到发现开启了23端口 开启了telnet服务 开启空密码登录之后 可以使用telnat连接目标机器 获取shell 这里的用户名是root 登录之后直接cat flag.txt即可 Fawn nmap扫描暴露端口 扫描21端口的ftp服务版本 登录 获取flag Dancing 先扫描一下端口 发现开了smb服务 使用smbcilent查找存在的资源 尝试登录 使用空密码 在James.P下发现flag 使用get获取flag 读取 Redeemer 扫描 发现开启了6379 redis端口 连接数据库 没设置账号密码 info查看配置信息 注意到keys值为4 使用keys *查看 读取即可 level1 后面的题目就要米了 苦逼没米 就先放着 Appiontment 老样子 ping+nmap测试端口 题目要求用gobuster这个软件扫描泄 ...

学习一下加固题的做法 ezsqlssh连接之后 访问/var/www/html tar打包下载源码 1tar -czvf /tmp/1.tar.gz ../html 查看源码 输入的参数没有经过任何的过滤 直接就输入到数据库中执行查找 存在sql注入 简单测试一下 写一个正则匹配看一下 123456if(preg_match("/select|and|\"|\'| |or|\+|=|like|databaese|\\|,|.|&|limit|%|group_concat|schema_name|schemata|extractvalue|~|updatexml|from|union|where|columns|--|show|/i",$password)){ die("用户名或密码错误"); } if(preg_match("/select|and|\"|\'| |or|\+|=|like|databaese|\ ...

java题目复现 1 手头屯了不少之前的比赛题目，慢慢全部解决掉，一堆题目 StrangePort 做了一会 发现是N1CTF 2023 StrangePort 上来看看源码 存在问题的地方只有这里 感觉应该是gson反序列化一类的漏洞 之前没接触过 Gson 反序列化gson是谷歌开发的一个java库 提供了类似fastjson的 将字符串转换为对象，对象转换为字符串的功能 12345678910public class gson { public static void main(String[] args) throws ClassNotFoundException { String Json="eyJuYW1lIjoidXNlciIsImFnZSI6IjIwIn0="; String person="org.example.gson.person"; Gson gson = new Gson(); person test = (person)gso ...