烨 - Ye's Blog

摘要： 本博客已迁移，博客园此后不再更新 阅读全文

摘要： 其实挺简单的，但是比赛的时候想复杂了，一直在考虑利用DNS重绑定来绕过check实现SSRF，其实302设置一个Location头就可以了。 先放上来Utils.class的check： com.example.magicproxy.utils.Utils package BOOT-INF.clas 阅读全文

摘要： CVE-2022-1292，主要思路就是生成证书之后，去利用proxy路由请求go server去修改证书的名称为反引号包裹的命令，然后再去访问Python的createlink路由从而调用c_rehash来触发RCE 注意go这里修改文件名的要求： if c.Request.URL.RawPath 阅读全文

摘要： 知识点 fastjson JNDI注入 JNDI注入绕过高版本jdk限制 绕过RASP 解题 首先是一个登录页面，大概fuzz了一下发现是一个弱口令 admin@admin123登录进去之后就可以看到有一个fastjson的简介： 还给了部分依赖，猜测预期解应该是想让选手通过审计给出的依赖自行挖掘出 阅读全文

摘要： 首先进入靶机还是nmap扫一下端口信息：nmap -sS 10.10.11.125 只探测到了80和22端口开放，然后用rustscan再探测一下： 还发现了1337端口，查看一下80端口发现是一个WordPress，直接上wpscan扫一下： 访问http://10.10.11.125/wp-co 阅读全文

摘要： 靶机名 Gunship 难度 VERY EASY 考点 pug ssti 报错外带回显 解题 下载题目源码后先看一下index.js： const path = require('path'); const express = require('express'); const pug = requ 阅读全文

摘要： RWDN 考点 多文件上传绕过 Apache .htaccess文件的妙用 LD_PRELOAD加载恶意so RCE 解题 进入/source获得源码： const express = require('express'); const fileUpload = require('express-f 阅读全文

摘要： 考点 PostgreSQL注入 解题 首先看源代码： #!/usr/bin/env python3 import flask import psycopg2 import datetime import hashlib from skynet import Skynet app = flask.Fl 阅读全文

摘要： EZ_TP www.zip源码泄漏，在控制器下可以看到hello控制器有一个可以利用变量覆盖触发Phar反序列化的地方： public function hello() { highlight_file(__FILE__); $hello = base64_encode('Welcome to D0 阅读全文

摘要： 简单的代码注入，但是因为太懒了，十月打的比赛十一月底才想起来写个Wp，以后再也不当懒狗了 题目： <?php highlight_file('index.php'); extract($_GET); error_reporting(0); function String2Array($data) { 阅读全文