第十四届全国大学生信息安全竞赛初赛 writeup
梦回高考。国赛嘛很正常 easy_sql ')闭合,join报错注入字段,盲猜表名flag select*from (select * from flag as a join flag b)c 然后挨个爆字段,直到第三个字段为一串uuid select * from (select * from flag join flag as b using(…
java写文件getshell
如果能任意文件读写,除了写jsp、crontab,如何getshell 0x01 fastjson 1.2.68 绕过autoType 看一下原理: 使用期望类expectClass 如: public class testfj1268 extends Exception { private String domain; public testfj…
shiro-1.2.4反序列化分析踩坑
环境搭建 github上下载源码,配上tomcat运行shiro-web shiro-root pom.xml <dependency> <groupId>javax.servlet</groupId> <artifactId>jstl</artifactId> <!-- 这里需要将…
D^3CTF 2021 8-bit-pub & non RCE
这题花了我比较长的时间,一直在想如何命令执行,不过这题也比较容易上车...希望WP出来后能把java那题弄懂 8-bit-pub 首先要成为admin,本来以为是文件读取读key然后伪造session啥的,但是这代码路由写死了 总的来说就三个功能 登陆注册用的是预编译,可以这样 sql查询就变成了 SELECT * FROM test WHERE …
*CTF2021 oh-my-bet
抓个包,发现头像处1.png,可以路径穿越 结果会保存在头像中 /app/utils.py urllib请求,基本上是ssrf+crlf /app/config.py 内网172.20.0.2 8877是个ftp,crlf看一下ftp文件可以得到config.json ftp://fan:root@172.20.0.2:8877/files/con…
Vulnstack(二)
kali 192.168.111.128 WEB 10.10.10.80 192.168.111.80 PC 10.10.10.201 192.168.111.201 DC 10.10.10.10 需要先手动去web机子上开startweblogic.bat weblogicScan扫一下发现有cve-2017-10271,尝试直接弹shell弹不…
Vulnstack(一)
kali 192.168.224.128 win7 192.168.52.128 win2008 192.168.52.138 win2003 192.168.52.141 确保win7能通内外网,kali不能通内网,进入win7开启phpstudy,frp转到公网,80端口 扫一下目录发现phpmyadmin,弱口令进后台日志包含getshell…
网鼎杯2020线下web
由于种种原因没去成线下,下一次网鼎杯估计2022了,有点可惜,只能上buu复现了几题 [网鼎杯 2020 半决赛]faka 给了sql文件,本地导入一下可以看到admin的md5密码 解密得到密码: admincccbbb123 这里还有一种方法: /admin/Index/info处未授权访问 可以直接添加后台用户,但是不是超级管理员,数据库中注…
首届祥云杯 web writeup
白给一天,最后30秒看着别人噌噌噌上分,心态崩了 Command 这题学弟做的没咋看: 利用sort或者uniq可以读取文件,采取?通配符读取文件绕过 $a = shell_exec("ping -c 4 ".$ip); $ip=$_GET['url']; if(preg_match("/(;|&#…