前期储备:ThinkPHP6 任意文件操作漏洞分析 https://paper.seebug.org/1114/ 学习链接: https://www.freebuf.com/articles/web/192052.html https://bugs.php.net/bug.php?id=72530 https://www.gem-love.com/ctf/1669.html#easy_thinking https://www.jianshu.com/p/b0a130fe5c4d 复现: 源码泄露…

题目复现传送门 学习链接: 找了个师傅的blog先学习一下基础的flask知识 https://www.freebuf.com/column/187845.html(从零学flask) 简单记录一下: flask 中渲染的方法有两种: render_template render_template_string 两者的区别: render_template()渲染指定的文件 render_template_string()渲染指定的字符串 不正确的使用render_template_string…

考点:regexp注入+时间盲注 源码: <?php # flag在fl4g里 include 'waf.php'; header("Content-type: text/html; charset=utf-8"); $db = new mysql(); $id = $_GET['id']; if ($id) { if(check_sql($id)){ exit(); } else { $sql = "select * from flllllllag where id=…

基础知识可以参考我之前写的那个 0CTF 2016 piapiapia  那个题只是简单记录了一下,学习了一下php反序列化的思路 https://www.cnblogs.com/tiaopidejun/p/12345080.html 这道题自己搞一下: 主要是构造pop链, 大概的思路,如果找到序列化和反序列化的点,跟进调用的方法,在源码中寻找可以被我们利用getshell的点. 开始: 先是发现 跟进getNewInfo 发现update调用,继续跟进UpdateHelper 发现会直接调用…

考点: NodeJS 代码审计 SSRF 请求夹带 复现: 不太懂js,先留着吧,学懂了再记录…

上传一句话,没有任何过滤 菜刀连接后,读取flag文件 bash -c/readflag >tmp cat tmp 上面是非预期的解法.应该是题出问题了.看了一个师傅的blog,看源码,发现预期的操作应该是用phptml后缀绕过. 记录这个题,就是复习一下phptml…

登陆抓包,改成32位,根据tp6任意创建文件的漏洞,修改cookie. 上传文件. 木马在/runtime/session下, 然后传bypass文件绕过disablefunction,得到flag…

主要考察ThinkPHP6.0的一个任意文件写入的CVE以及突破disable_function的方法. ThinkPHP6.0.0任意文件操作漏洞 理论分析 进入题目是一个简单的操作页面,dirmap扫出来www.zip源码泄露: 下载下来看一下源码目录: 很明显的ThinkPHP框架,让网页随便报个错看看版本: 发现版本为6.0.0,一般线上CTF题目中出现ThinkPHP这种框架时,多是考察近期该框架爆出的通用漏洞,像是XCTF外卡赛“高校战‘疫’”的PHP-UAF便是考察了一个PHP近期…

目录: Blacklist Easyphp Ezsqli FlaskApp EasyThinking 前言: 这次比赛从第二天开始打的,因为快开学了所以就没怎么看题目(主要还是自己太菜)就只做出一道题.不过还好有buu,在几天后我终于抽出时间来复盘了. ..由于buu复现的数量有限,所以没办法都写完,只能挑几道会的写一写.那么接下来开始看题吧. Blacklist 涉及知识点: (1)堆叠注入 解析: 这一道题很明显参考了强网杯的随便注.只不过过滤的函数增加了. 先看一下有表名.payload:…

学习链接: https://www.jianshu.com/p/6e623e9debe3 关于NJS  https://xz.aliyun.com/t/7184 相关题是 GYCTF  ez_express 看byc师傅总结过一点:原型链污染的题目必然有 merge(),clone() 基础:https://www.jianshu.com/p/6e623e9debe3 js不懂,慢慢先记录着 原型链的特性: 在我们调用一个对象的某属性时: .对象(obj)中寻找这一属性 .如果找不到,则在obj…