强网拟态 zerocalc题目提示readFile(“./src/index.js”),所以尝试readFile(“/flag”)得到flag new_hospital扫描目录。可以发现/old/ 以及/flag.php。然后通过awvs可以发现,在feature.php下有一个api会利用Cookie include文件。发现/feature不是很好用,利用/old/feature.php来包含任意文件 2021-11-07 ctf ctf web
网鼎杯java题 网鼎杯 2020 filejavahttps://www.4armed.co/blog/exploiting-xxe-with-excel/ https://xz.aliyun.com/t/7747 下载文件处有filename目录穿越,结合报错可知道源码位置从而dump下源码开始审计 看到这里就很明显了,判断后缀名应该是xlsx,开头限制了为excel-,考的就是excel进行xxe攻击 最 2021-11-06 java web java
东华杯 EzGadget这题在我调了几个cc库之后再看就很简单了,可以看另一篇文章。 找一个重写readobject和tostring得类就行了,这里找到BadAttributeValueExpException类,这个类可以调试几个cc链就明白能用来利用啥了,可参考另一篇文章,这里就是利用了tostringbean的defineclass可以读取任意字节代码,所以就只需要将BadAttributeVal 2021-11-04 ctf ctf web
长城杯 ez_python打开首页,看看源代码。 这里猜测就是可以读取源码,先读/self/proc/cmd可以发现源码时app.py,读取源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051import pickleimport base64from flask 2021-11-01 ctf ctf web
GKcctf Eznode考点为js弱类型比较,ejs原型链污染rce 原理参考ejs原型链污染rce https://evi0s.com/2019/08/30/expresslodashejs-%E4%BB%8E%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93%E5%88%B0rce/ https://www.leavesongs.com/PENETRATION/ja 2021-11-01 ctf ctf web
字节跳动 Double Sqli本菜鸡做了很长时间才唯一做出来的一道题。报错可以发现是clickhouse数据库,查看文档可以查数据库,表等 1/?id=-1 union all select name from system.databases--+ 最后读到hint,提示需要提权。 这里需要发现一个 nginx 目录穿越 1在 /var/lib/clickhouse/access 2021-11-01 ctf ctf web
绿城杯 Looking for treasurejson-schema原型链 123POST /validated/json-schema/validateContent-Type: application/json{"$schema":{"type":"object","properties":{ 2021-10-30 ctf ctf web
天翼杯复现 easy_eval进入首先是一个反序列化加绕过,这里可以用大小写绕过和基类绕过,wakeup改属性就行 将正常payload O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:64:"file_put_contents('./shell.php& 2021-10-10 ctf ctf web
nodejs 沙箱机制沙箱机制简单来讲是一个隔离得虚拟环境,能够独立的在这个虚拟环境内运行代码,但是不会影响外界代码,能够屏蔽上下文,隔离当前的执行环境,避免被恶意代码攻击。 日常开发需求中有时候为了追求灵活性或降低开发难度,会在业务代码里直接使用 eval/Function/vm 等功能,其中 eval/Function 算是动态执行 JS,但无法屏蔽当前执行环境的上下文,会存在安全问题。 node.js 里 2021-10-08 ctf web nodejs
