L的博客

第一次打CISCN结果是大大出乎了我们的意料，本来是冲着三等去的没想到最后拿了个20名（我个人认为我在这次线下赛的表现还是非常出色的，嘿嘿），web的break和fix都差一题node.js（考node.js是一点都不会啊也没存文章，）我记得刚打出python原型链污染的时候排名直接到了11名当然很快就掉下去了师傅们太强了 wp签到不必多说，f12submitbreak：he幽默文件上传，盲盒测试时发现可以上传php文件，幽默文件上传，队友和我说这个只能上传png图片，并且检测php，所以我直接上传了端标签的php马并再前面添加了图片文件头，赛后发现其应该只是再文件里检测了php之类的 fix：直接加图片文件尾的白名单即可 粗心的程序员break分析源码我们可以发现，其在home.php直接将修改的用户名加到了config.php里而config.php是再web页面的是能被解析到的。而其将写入的内容前加了个注释，且没有过滤?<>=那么这就可以直接使用?>来饶过注释再利用短标签来执行命令再使用#来注释后面拼接的内容，即可命令执行 fix检测?,>,<等其就 ...

好久没有水博客了。主要是最近考试还有，打攻防太忙了，刚打完上周的攻防，做了5天的牢主要都是在信息收集，发现攻防要打的好，信息收集是一定要做好的。从小程序开始信息收集打了这次攻防，我发现现在各种系统后台的弱密码已经非常少了。直接使用fofa等工具来找很容易出现打歪的情况。而在这次攻防里我学到了可以从小程序来进行信息收集，因为小程序是近几年才兴起的，这回导致很多公司对小程序的安全并不重视，这就会导致小程序背后的网站经常会出现，弱密码和常见的框架漏洞。 很多小程序虽然是放在了微信上但是其实就是魔改的网站罢了，我们通过bp来抓包会发现很多小程序的很多功能走的都是http的协议，题目http报文我们就可以发现其所连接的网站，从而找到其后台网站，而这些后台网站一般都是很薄弱的资产，大部分存在弱密码，而且很多是使用的开源宽假（而且是老版本的）而通过小程序找到的网站我们有可以在通过ip反查，爆破子域名等来扩大资产。这里我贴一个大神写的文章微信小程序的修炼五脉这位大神的这个系列文章共有五篇。干货满满。

这个比赛也是我第一次打的比较大的比赛，为此我还在赛前把前几年的题目都刷了一下，结果今年的题目怎么变异了，这么难（道心给整碎了），为此我写下这篇博客来复现学习。simple_php这题在比赛的时候其实已经差不多做出来了，可是出题人把flag藏到了数据库里。。。。123456789101112<?phpini_set('open_basedir', '/var/www/html/');error_reporting(0);if(isset($_POST['cmd'])){ $cmd = escapeshellcmd($_POST['cmd']); if (!preg_match('/ls|dir|nl|nc|cat|tail|more|flag|sh|cut|awk|strings|od|curl|ping|\*|sort|ch|zip|mod|sl|find|sed|cp|mv|ty|grep|fd|df|sudo|more|cc|tac|less|head|\.|& ...

因为在打hnctf的时候遇到了框架代审，当时我是直接通过日志泄露的payload来打的，所以我写下这篇文章来记录一下代审，顺便安装一下动调的环境。xdebug的配置先通过phpinfo来看其推荐版本 https://xdebug.org/wizard将phpinfo信息复制，官网会推荐其版本跟着安装即可配置如下1234567891011121314151617[XDebug]zend_extension="D:\phpstudy_pro\Extensions\php\php7.3.4nts\ext\php_xdebug.dll"xdebug.remote_enable = 1xdebug.client_port = 9001 ;端口配置xdebug.remote_host = localhost ;远程主机域名,对应本地phpstudy的网站域名xdebug.idekey = PHPSTORM ;设置IDE KEYxdebug.auto_trace = On ;开启自动跟踪, ...

周末打了一下hnctf，稍微写一下wp吧。写了五道web。Please_RCE_Me123456789101112131415<?phpif($_GET['moran'] === 'flag'){ highlight_file(__FILE__); if(isset($_POST['task'])&&isset($_POST['flag'])){ $str1 = $_POST['task']; $str2 = $_POST['flag']; if(preg_match('/system|eval|assert|call|create|preg|sort|{|}|filter|exec|passthru|proc|open|echo|`| |\.|include|require|flag/i',$str1) || strlen($str ...

我发现自己的越来越内耗了。不知道为什么最近都没有写博客的动力了。但是还是要写博客来记录一下这个漏洞。这个漏洞是我在无聊写题时遇到的漏洞。文章学习与p牛的博客Docker PHP裸文件本地包含综述 日志文件包含(不行但我还是要写一下)首先我们都知道服务器一般都会有日志文件，我们传入的内容都会被日志文件给记录nginx的默认日志位置如下12error_log /var/log/nginx/error.log;access_log /var/log/nginx/access.log;web的access_log日志下会存储访问的ua头等那只要在ua头写马在包含就可以得到shell pearcmd.php利用条件php.ini中register_argc_argv=On开启安装pecl/pear pear这个工具在php7.3前会自动安装但是到了php7.4后就不会自动安装。但是在docker中这个工具是默认安装的，这个工具其实就是个命令行工具，可以使用其来对文件进行操作。pearcmd.php123456789PEAR_Command::setFrontendType('CLI&# ...

在之前打帕鲁杯的时候遇到了，php写入文件来修改session进行伪造的题目。今天不知道学什么突然就想到了session反序列化我还没水过博客，于是写下这篇学习博客php session介绍首先我们都知道session是以文件的形式存储在服务端的，文件的内容是经过序列化后的数据。而存储的具体格式主要与下面几个php.ini设置有关1234session.save_path：这是session文件的储存路径session.auto_start：这个开关是指定是否在请求开始时就自动启动一个会话，默认为Off；如果它为On的话，相当于就先执行了一个session_start()，会生成一个session_id，一般来说这个开关是不会打开的session.save_handler：这个是设置用户自定义session存储的选项，默认是files，也就是以文件的形式来存储的session.serialize_handler：这是最重要的部分，定义用来序列化/反序列化的处理器名字，默认使用php，还有其他引擎，且不同引擎的对应的session的存储方式不相同，默认是php session.seria ...

在打XY时遇到了pickle反序列化，但是没打出来故学习。什么是picklepickle其实就是python中用于序列化和反序列化的一种模块。其将对象序列化的结果是由一系列opcode组成的。如下1234567891011import pickleimport osimport base64import pickletoolsclass lalala(): def __reduce__(self): return (os.system,("dir",))haha=lalala()print(pickle.dumps(haha,protocol=0))----------------------------------------------cnt\nsystem\np0\n(Vdir\np1\ntp2\nRp3\n.上面的代码利用了__reduce__魔术方法该方法可以在被序列化时，会返回一个元组，以第一个参数为函数，第二个参数为执行的参数。我们可以看到其输出值为V0协议的opcode，该协议也称为人类可读的协议版本。其实__reduce__也就 ...

浅浅写一下wp吧，web差两题没有写出来，主要是因为，赛事时间太长，还要大二大三的老登太多了，没有拿奖的希望，就懒的打了。下面就写一下有些难度的吧，简单题就不写了。ezPOP这题难度不是特别高但是又两个算新又不是特别新的知识点第一个知识点就是 GC回收机制触发destruct首先我们来聊聊什么是GC回收机制。GC回收是一种销毁机制，又称垃圾回收机制。在PHP中，使用引用计数和回收周期来自动管理内存对象的，当一个变量被设置为NULL，或者没有任何指针指向时，它就会被变成垃圾，被GC机制自动回收掉那么这里的话我们就可以理解为，当一个对象没有被引用时，就会被GC机制回收，在回收的过程中，它会自动触发_destruct方法，而这也就是我们绕过抛出异常的关键点。 演示12345678910111213<?phpclass A{ public $B=1; public function __destruct() { echo "触发回收"; }}$A=new A();throw new Exce ...

又是做xy学到的。xy真是每一题都在学习。md5加密我们先聊聊md5加密。 加密过程我们会发现在md5加密后总是会输出一个128位的字符串，不管是多大的数据，因为md5是一个有损加密，这也就导致了我们认为md5加密不可逆。但是可以碰撞。至于其加密流程我直接先贴个图 填充加密的第一步就是填充。在进行md5加密时第一步就是填充，加密数据小于448位的数据会先先填充到448位填充的字符就是16进制的\x80\x00\x00\x00\x00。填充到448位最后的再写入64位的内容代表原数据的长度。补充到512位。如果数据大于512就补充道1024位。如果等于512也要补充到1024 分组加密md5的加密是将数据按512一组分成多组与初始的幻数加密12340x674523010xEFCDAB890x98BADCFE0x10325476初始幻数与第一组进行一系列复杂的运算，得到第二组幻数，第二组幻数再与第而做的数据进行运算，以此类推到最后一组得到的四个最终的幻数进行下面的操作就是得到的md5值假设最后得到的4组幻数都是0xabcdefgh那么首先两两分组得到1234ab cd ef ghab cd ...