精选分类

Writeup

5 篇文章

JavaSafety

1 篇文章

文章列表

# warmup-php 题目给了 4 个类, Base 、 ListView 、 Filter 、 TestView ,不过 Filter 没用到,另外三个类从左到右是依次继承的关系 <?phpspl_autoload_register(function($class){ require("./class/".$class.".php");});highlight_file(__FILE__);error_reporting(0);$action =...

文章首发于奇安信攻防社区: https://forum.butian.net/share/1511 # oh-my-notepro 登录没有做限制,仅与登录的用户名有关 登陆后创建文件,并进行访问 view?note_id=XXXX ,此时修改 note_id 的值会发生报错,并且进入到 flask 的 Debug 中 从 Debug 反馈的报错中可知这里存在执行了 SQL 语句,测试后发现存在 SQL 注入,Payload 为 /view?note_id=-1'union select 1,2,3,4,5--+ 这里 flask 是开启了 Debug ,存在计算 PIN...

# 前言 个人 CC 链分析顺序如下: CC1 -> CC6 -> CC3 # CC1 分析 # 影响版本 commons-collections 3.1 ~ 3.2.1 JDK8u71 之前 # CC1_LazyMap # 栈调用 ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke() LazyMap.get()...

ezpop给了源码,POP链如下 fin::__destruct ↓↓↓ what::__toString ↓↓↓ mix::run ↓↓↓ crow::__invoke ↓↓↓ fin::__call ↓↓↓ mix::get_flag 然后这里eval函数里虽然加了注释符,但是可以直接通过换行符做一个绕过 <?php class crow { public $v1; public $v2; public function __construct($v1) { $this->v1 =...

# Misc # Fan website 解压后使用 010 打开,搜索 flag{ # Web # Fan website 通过 www.zip 获取源码 题目说了是 Laminas 写的,先找一手历史漏洞:Zend FrameWork Pop Chain - 先知社区 (aliyun.com),知道了漏洞组件为 laminas/laminas-log:2.11 ,与 composer.json 版本匹配,可以直接利用链子打反序列化。 在 module\Album\src\Controller\AlbumController.php...

# HFCTF2022 # Web # babysql 查看 hint.md (有效代码块) function safe(str: string): string { const r = str .replace(/[\s,()#;*\-]/g, '') .replace(/^.*(?=union|binary).*$/gi, '') .toString(); return r;}const sql = `SELECT * FROM auth WHERE...