ciscn2021的两道题
ciscn2021 华北半决赛 java 注册后登录,/message会显示所有的message,而浏览方式是通过/view,然后传path参数,存在任意文件读取 tree中给了目录树 . ├── pom.xml └── src └── main ├── java │ └── com │ └── nothing │ └── game │ ├── G…
GKCTF2021出题
源码以及dockerfile:https://github.com/w4nd3r-0/GKCTF2021 easycms 网上找了个后台getshell的cms哪来改改用了,当作签到题。 babycat 非预期: 首先是uploadServlet中doPost没权限校验导致guest也能直接传文件,其次在check函数后转发没返回,后面的代码依旧执…
强网杯2021 writeup
[强网先锋]赌徒 www.zip源码泄露,构造反序列化链 <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name;//='guest'; public …
DozerCTF2021 域渗透
flag1 dozer/dozer123登陆进后台,cve能任意文件读取,原漏洞文件下有个testInclude并且是public 直接任意文件包含,远程下载 POST /admin/neditor/serve/catchImage HTTP/1.1 Host: web1.dozer.team:8082 Content-Length: 35 Pra…
第十四届全国大学生信息安全竞赛初赛 writeup
梦回高考。国赛嘛很正常 easy_sql ')闭合,join报错注入字段,盲猜表名flag select*from (select * from flag as a join flag b)c 然后挨个爆字段,直到第三个字段为一串uuid select * from (select * from flag join flag as b using(…
java写文件getshell
如果能任意文件读写,除了写jsp、crontab,如何getshell 0x01 fastjson 1.2.68 绕过autoType 看一下原理: 使用期望类expectClass 如: public class testfj1268 extends Exception { private String domain; public testfj…
shiro-1.2.4反序列化分析踩坑
环境搭建 github上下载源码,配上tomcat运行shiro-web shiro-root pom.xml <dependency> <groupId>javax.servlet</groupId> <artifactId>jstl</artifactId> <!-- 这里需要将…
D^3CTF 2021 8-bit-pub & non RCE
这题花了我比较长的时间,一直在想如何命令执行,不过这题也比较容易上车...希望WP出来后能把java那题弄懂 8-bit-pub 首先要成为admin,本来以为是文件读取读key然后伪造session啥的,但是这代码路由写死了 总的来说就三个功能 登陆注册用的是预编译,可以这样 sql查询就变成了 SELECT * FROM test WHERE …
*CTF2021 oh-my-bet
抓个包,发现头像处1.png,可以路径穿越 结果会保存在头像中 /app/utils.py urllib请求,基本上是ssrf+crlf /app/config.py 内网172.20.0.2 8877是个ftp,crlf看一下ftp文件可以得到config.json ftp://fan:root@172.20.0.2:8877/files/con…