1Liu's Blog

摘要： 河北师范大学第八届信息安全挑战赛 WriteUp WEB Are u happy 找到/api/js内的game.js，发现一串Base64编码的文本，解码即为flag. baby_unserialize 切入点在于User类的__construct()和__destruct()，因此从这里开始构造 阅读全文

摘要： python ssti 前面的登录页面没有什么用，直接用快捷键查看网页源代码，发现注释里有相应链接，前往即可. 过滤了两个连续的大括号、下划线、双引号和一部分单词. 因此使用{%print ...%}+中括号+单引号+\x5f绕过，cat改为tac. 用GET方法传入参数name. {%print 阅读全文

摘要： easy_pop 首先访问/www.zip目录，获得源码. 题目要求在hello这里传入一个pop链. 分析一下不难得出： 先调用Start的__wakeup()； 将name变量连接到Info，通过echo调用Info的__toString()； 将其中的file['filename']变量连接到 阅读全文

摘要： phar 一道php伪协议+phar反序列化题. 首先提示include.php并提示用file作为参数. 用伪协议读一下include.php的源码，为避免被解析只能使用convert.base64-encode来读取. 发现base被过滤，可以将其中一个字母转换成ASCII编码来绕过. http 阅读全文

摘要： 千年樱 先加一个Cookie： Cookie: from=ISCTF 然后用一个伪协议充当文件内容： name=data://text/plain,ISCTF 下一页可以看输出，在网址后面加一个参数output=114514,. 这里末尾加一个符号是为了避免数字判断，而转换为数值是这个符号会被自动忽 阅读全文

摘要： ez_unser 观察源码： <?php $UA = $_SERVER['HTTP_USER_AGENT']; $os = stripos($UA, "Windows NT 5.1;"); $br = stripos($UA, "zilla/4.0"); if ($os == null) { ech 阅读全文

摘要： Check in 根据提示，需要上传一个.user.ini文件，通过index.php以加载所上传的内容. 由于上传时添加了图片验证机制，而且不能上传以php类型为后缀的文件，因此需要在上传的文件头添加关于图片类型的文本，如GIF189a. .user.ini文件内容为自动将图片文件解析为php； 阅读全文

摘要： 作业管理系统 简单的PHP上传，传一个带shell的php文件就可以了. 示例文件 <?php echo shell_exec("ls /"); echo shell_exec("cat /flag"); phpinfo(); ?> 来源：题库 LocalCat 验证是否为本地用户，在请求头部添加X 阅读全文

摘要： CRYPTO ezDLP 正解是离散对数计算，实际发现m、n的值很小，可以进行暴力方法枚举出a、b，然后直接调用decrypt函数即可获得\(flag\). 运行结果 p = 10256406686611218071 m = 3596018084 n = 2612084654 ma = 434527 阅读全文

摘要： CRYPTO T1 复数域应用RSA，\(\varphi\) 取 \((p^2-1)(q^2-1)\) . MISC T1 摩尔斯电码，用Audacity打开频谱图就能看见了. PWN T1 flag1是根目录下的一个程序，添加权限运行； flag2是一个隐藏文件，文件名：.flag2； flag3 阅读全文