强网杯2021 writeup
[强网先锋]赌徒 www.zip源码泄露,构造反序列化链 <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name;//='guest'; public …
DozerCTF2021 域渗透
flag1 dozer/dozer123登陆进后台,cve能任意文件读取,原漏洞文件下有个testInclude并且是public 直接任意文件包含,远程下载 POST /admin/neditor/serve/catchImage HTTP/1.1 Host: web1.dozer.team:8082 Content-Length: 35 Pra…
第十四届全国大学生信息安全竞赛初赛 writeup
梦回高考。国赛嘛很正常 easy_sql ')闭合,join报错注入字段,盲猜表名flag select*from (select * from flag as a join flag b)c 然后挨个爆字段,直到第三个字段为一串uuid select * from (select * from flag join flag as b using(…
java写文件getshell
如果能任意文件读写,除了写jsp、crontab,如何getshell 0x01 fastjson 1.2.68 绕过autoType 看一下原理: 使用期望类expectClass 如: public class testfj1268 extends Exception { private String domain; public testfj…
shiro-1.2.4反序列化分析踩坑
环境搭建 github上下载源码,配上tomcat运行shiro-web shiro-root pom.xml <dependency> <groupId>javax.servlet</groupId> <artifactId>jstl</artifactId> <!-- 这里需要将…
D^3CTF 2021 8-bit-pub & non RCE
这题花了我比较长的时间,一直在想如何命令执行,不过这题也比较容易上车...希望WP出来后能把java那题弄懂 8-bit-pub 首先要成为admin,本来以为是文件读取读key然后伪造session啥的,但是这代码路由写死了 总的来说就三个功能 登陆注册用的是预编译,可以这样 sql查询就变成了 SELECT * FROM test WHERE …
*CTF2021 oh-my-bet
抓个包,发现头像处1.png,可以路径穿越 结果会保存在头像中 /app/utils.py urllib请求,基本上是ssrf+crlf /app/config.py 内网172.20.0.2 8877是个ftp,crlf看一下ftp文件可以得到config.json ftp://fan:root@172.20.0.2:8877/files/con…
Vulnstack(二)
kali 192.168.111.128 WEB 10.10.10.80 192.168.111.80 PC 10.10.10.201 192.168.111.201 DC 10.10.10.10 需要先手动去web机子上开startweblogic.bat weblogicScan扫一下发现有cve-2017-10271,尝试直接弹shell弹不…
Vulnstack(一)
kali 192.168.224.128 win7 192.168.52.128 win2008 192.168.52.138 win2003 192.168.52.141 确保win7能通内外网,kali不能通内网,进入win7开启phpstudy,frp转到公网,80端口 扫一下目录发现phpmyadmin,弱口令进后台日志包含getshell…