by ss0t-桂北 前言 在和队友九个小时的奋战后拿到了第五名。 MISC Dev:我 ntlm 呢？ dmp 打开发现是 PK 开头，猜测有压缩包存在，使用 foremost 分离文件，在其中 zip 文件夹中存在一个压缩包，里面是 flag，但不知道密码 题目给出提示 ntlm，推测需要使用 mimikatz dump hash，在通过题目给…

by 桂北 DAY1 WEB unzip 创建一个带有软连接的压缩包，然后上传，使目录下有一个链接目录 ln -s /var/www/html html;zip -ry html.zip html 上传后自动解压，使目录下有一个链接目录，再上传一个压缩包，把shell放在html目录下就行。 MISC 签到 直接输入print(open("…

by ss0t WEB fun_java bypassit1 package com.yulate.nativespring; /** * @projectName: nativeSpring * @package: com.yulate.nativespring * @className: Vuln * @author: yulate * @de…

场景二 192.168.0.12 //入口机 192.168.0.55 //mysql数据服务器 2W2mg^v6B6UJNR@Svs 192.168.0.33 192.168.0.33:6379 open192.168.0.33:22 open 大致攻击流程 CVE-2022-26134 反弹shell，上去搜suid，然后发现vim可用，直接加…

最终成绩 一个人打了一天，web太过简单了，AK 加起来没有misc一题分高，其他方向就浅浅会一点，最后就拿了个115名。 WEB 受不了一点 老旧的php弱类型考点 <?php error_reporting(0); header("Content-type:text/html;charset=utf-8"); if (…

WEB 仔细ping ls nl flag.php pop 简单的链子，瞄一眼就能找到了。 payload <?php class TT { public $key; public $c; } class JJ { public $obj; } class MM { public $name; public $c; } $m = new MM…

0x01 项目搭建 Servlet 规范中定义了 8 个监听器接口，其中最适合用来做内存马的是ServletRequestListener，它被用于监听 ServletRequest 对象的创建和销毁过程，在每次访问的时候都会被调用。 Servlet Listener（监听器） (biancheng.net) memoryListener pack…

0x01 前言 该篇文章起源于XCTF 决赛中清华对一道web题的非预期，在该题中过滤了很多的关键字，包括SELECT等，预期解为mariadb主从复制，但清华使用EXECUTE IMMEDIATE绕过了黑名单导致非预期，这里详细来分析一下该种绕过方法。 0x01 基础用法 EXECUTE IMMEDIATE Statement (oracle.c…

WEB dbtrick admin.php 中读代码可以发现是从ctf.admin中读取username、password，如果能查询出数据着执行readfile('/flag') #admin.php <?php //flag is in /flag $con = new PDO($dsn,$user,$pass); $sql = &quo…

CommonsCollections6 反序列化链分析 一、前言 CC6该条链用于解决在java高版本（java 8u71）中CC1无法利用进行替代的链，在java 8u71之后sun.reflect.annotation.AnnotationInvocationHandler#readObject的逻辑发生变化，导致cc1的链子在8u71之后无法…