CISCN 2023 WP
by 桂北 DAY1 WEB unzip 创建一个带有软连接的压缩包,然后上传,使目录下有一个链接目录 ln -s /var/www/html html;zip -ry html.zip html 上传后自动解压,使目录下有一个链接目录,再上传一个压缩包,把shell放在html目录下就行。 MISC 签到 直接输入print(open("…
磐石行动 WP
by ss0t WEB fun_java bypassit1 package com.yulate.nativespring; /** * @projectName: nativeSpring * @package: com.yulate.nativespring * @className: Vuln * @author: yulate * @de…
磐石行动 漏洞挖掘赛 WP
场景二 192.168.0.12 //入口机 192.168.0.55 //mysql数据服务器 2W2mg^v6B6UJNR@Svs 192.168.0.33 192.168.0.33:6379 open192.168.0.33:22 open 大致攻击流程 CVE-2022-26134 反弹shell,上去搜suid,然后发现vim可用,直接加…
GDOUCTF 新生赛 wp
最终成绩 一个人打了一天,web太过简单了,AK 加起来没有misc一题分高,其他方向就浅浅会一点,最后就拿了个115名。 WEB 受不了一点 老旧的php弱类型考点 <?php error_reporting(0); header("Content-type:text/html;charset=utf-8"); if (…
Listener 内存马
0x01 项目搭建 Servlet 规范中定义了 8 个监听器接口,其中最适合用来做内存马的是ServletRequestListener,它被用于监听 ServletRequest 对象的创建和销毁过程,在每次访问的时候都会被调用。 Servlet Listener(监听器) (biancheng.net) memoryListener pack…
Mariadb EXECUTE IMMEDIATE 解析
0x01 前言 该篇文章起源于XCTF 决赛中清华对一道web题的非预期,在该题中过滤了很多的关键字,包括SELECT等,预期解为mariadb主从复制,但清华使用EXECUTE IMMEDIATE绕过了黑名单导致非预期,这里详细来分析一下该种绕过方法。 0x01 基础用法 EXECUTE IMMEDIATE Statement (oracle.c…
The 7th XCTF Finals WEB WP
WEB dbtrick admin.php 中读代码可以发现是从ctf.admin中读取username、password,如果能查询出数据着执行readfile('/flag') #admin.php <?php //flag is in /flag $con = new PDO($dsn,$user,$pass); $sql = &quo…
CommonsCollections6 反序列化链分析
CommonsCollections6 反序列化链分析 一、前言 CC6该条链用于解决在java高版本(java 8u71)中CC1无法利用进行替代的链,在java 8u71之后sun.reflect.annotation.AnnotationInvocationHandler#readObject的逻辑发生变化,导致cc1的链子在8u71之后无法…
CommonsCollections3 反序列化链分析
CommonsCollections3 反序列化链分析 一、前言 Variation on CommonsCollections1 that uses InstantiateTransformer instead of InvokerTransformer. CommonsCollections1 的变体,它使用 InstantiateTransf…