摘要:
环境搭建 环境跟CC1一样: https://www.cnblogs.com/starme/p/18464845 大概链子: 参考: https://www.bilibili.com/video/BV1NQ4y1q7EU?t=2.4 分析 这个也是从LazyMap.get开始的 CC7链子给的是ja 阅读全文
posted @ 2024-10-14 20:39
starme
阅读(43)
评论(0)
推荐(0)
摘要:
环境搭建 环境跟CC1一样: https://www.cnblogs.com/starme/p/18464845 跟CC1的后半段相同 调用链: 参考: https://www.bilibili.com/video/BV1NQ4y1q7EU?t=1.8 分析 目标是TiedMapEntry.toSt 阅读全文
posted @ 2024-10-14 20:35
starme
阅读(18)
评论(0)
推荐(0)
摘要:
环境搭建 环境跟CC4一样, https://www.cnblogs.com/starme/p/18464935 大概链子: 参考: https://www.bilibili.com/video/BV1NQ4y1q7EU?t=1.8 分析 因为C4除4.0的其他版本去掉了InvokerTranfor 阅读全文
posted @ 2024-10-14 20:28
starme
阅读(14)
评论(0)
推荐(0)
摘要:
环境搭建 换依赖 大概链子: 参考: https://www.bilibili.com/video/BV1NQ4y1q7EU?t=4.6 分析 从查找ChainedTransformer的transform方法的用法开始 注意是CC4的ChainedTransformer 然后查找这个transfo 阅读全文
posted @ 2024-10-14 20:19
starme
阅读(23)
评论(0)
推荐(0)
摘要:
环境搭建 环境跟CC1一样, https://www.cnblogs.com/starme/p/18464845 大概链子: 参考教程: https://www.bilibili.com/video/BV1Zf4y1F74K?t=1.3 分析 1. 类的动态加载 类的加载 Class c = Per 阅读全文
posted @ 2024-10-14 20:09
starme
阅读(35)
评论(0)
推荐(0)
摘要:
环境搭建 环境和CC1差不多, https://www.cnblogs.com/starme/p/18464845 LazyMap.get -> ChainedTransformer.transform -> InvokerTransform -> Runtime.exec 这部分和CC1一样的,下 阅读全文
posted @ 2024-10-14 19:45
starme
阅读(66)
评论(0)
推荐(0)
摘要:
环境搭建 个人学习CC链步骤: CC1 -> CC6 -> CC3 -> CC4 -> CC2 -> CC5 -> CC7 Java版本选择8u65:http://www.codebaoku.com/jdk/jdk-oracle-jdk1-8.html#jdk8u65 maven: 替换sun目录: 阅读全文
posted @ 2024-10-14 19:32
starme
阅读(56)
评论(0)
推荐(0)
摘要:
点send: 895547922 利用Wappalyzer或请求报文可知目前为 PHP 7.2.34 利用php_mt_sed回推时可发现在PHP7.1.0+ 时种子为1 再经过多次测试,发现Phone一定时,Hint的数字相同 推测Phone为种子,hint就是mt_rand的第一次,而目的验证码 阅读全文
posted @ 2024-10-14 15:27
starme
阅读(17)
评论(0)
推荐(0)
摘要:
<?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } https://www.cnblogs.com/hello-py/art 阅读全文
posted @ 2024-10-14 15:23
starme
阅读(88)
评论(0)
推荐(0)
摘要:
参数page,可能存在文件包含 /etc/passwd: 但是没有显示内容,猜测加了后缀.php 右上角有Login登录的功能 读取源码: php://filter/convert.base64-encode/resource=login <!DOCTYPE html> <html> <head> 阅读全文
posted @ 2024-10-14 15:18
starme
阅读(51)
评论(0)
推荐(0)
摘要:
https://github.com/wat3vr/watevrCTF-2019/tree/master/challenges/web/pickle store gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtc 阅读全文
posted @ 2024-10-14 15:11
starme
阅读(53)
评论(0)
推荐(0)
摘要:
打开后得到: 点击下面的help后: 参数为filename,明显存在文件下载漏洞 这里提示了{help.docx} 那就尝试filename = {help.docx} 尝试换种请求方式,用POST传参: 得到help.docx: 显然没什么用 Java中的重要文件: /WEB-INF/web.x 阅读全文
posted @ 2024-10-14 15:07
starme
阅读(30)
评论(0)
推荐(0)
摘要:
源码: $('#calc').submit(function(){ $.ajax({ url:"calc.php?num="+encodeURIComponent($("#content").val()), type:'GET', success:function(data){ $("#result 阅读全文
posted @ 2024-10-14 15:05
starme
阅读(9)
评论(0)
推荐(0)
摘要:
https://github.com/CTFTraining/pasecactf_2019_web_honey_shop 点击图片发现能够下载,抓包发现确实有文件下载漏洞: 环境变量: /download?image=../../../../proc/self/environ 发现是python环境 阅读全文
posted @ 2024-10-14 15:03
starme
阅读(16)
评论(0)
推荐(0)
摘要:
https://github.com/CTFTraining/isitdtu_2019_easyphp <?php highlight_file(__FILE__); $_ = @$_GET['_']; if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\ 阅读全文
posted @ 2024-10-14 15:01
starme
阅读(30)
评论(0)
推荐(0)
摘要:
点第三个source code,得到: <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_valid($str) { $banword = [ '\ 阅读全文
posted @ 2024-10-14 14:59
starme
阅读(28)
评论(0)
推荐(0)
摘要:
admin用户不可注册登录,这里随便注册其他用户: Cookie: user=ImEi.ZurdRg.Xt6BnHKMi3F956vdu-J0eKLUloQ; events_sesh_cookie=.eJwlzj0OwjAMQOG7eO5gJ06dcBnkX8Ha0glxd5DY3vTpveFeR5 阅读全文
posted @ 2024-10-14 14:57
starme
阅读(21)
评论(0)
推荐(0)
摘要:
URL变成了: /read?url=https://baidu.com 乍一看好像是SSRF,但实际上是任意文件读取 /read?url=../../../../../../etc/passwd 读取app.py /read?url=app.py 得到: # encoding:utf-8 impor 阅读全文
posted @ 2024-10-14 14:53
starme
阅读(13)
评论(0)
推荐(0)
摘要:
https://writeup.owo.show/ciscn-2019 https://www.cnblogs.com/yesec/p/12664136.html https://blog.csdn.net/qq_46263951/article/details/119240395 <?php er 阅读全文
posted @ 2024-10-14 14:51
starme
阅读(11)
评论(0)
推荐(0)
摘要:
打开得到源码: <?php $MY = create_function("","die(`cat flag.php`);"); $hash = bin2hex(openssl_random_pseudo_bytes(32)); // 生成32字节的伪随机字节序列,并将其转换为16进制字符串,这个字符 阅读全文
posted @ 2024-10-14 14:48
starme
阅读(28)
评论(0)
推荐(0)
浙公网安备 33010602011771号