环境依赖 <dependencies> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-expression</artifactId> <version>5.1.9.RELEASE</version> </dependency> </dependencies> SPEL表达式基础 SPEL简介 在Spring3中引入了Spring表达式语言（SpringExpressionLang...

依赖 先研究1.2.24版本的，版本高了就有waf了，不过也能绕，高版本以后再说 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-jav...

RMI介绍 RMI全程RemoteMethodInvocation（远程方法引用），RMI有客户端和服务端，还有一个注册中心，在java中客户端可以通过RMI调用服务端的方法，流程图如下：服务端创建RMI后会在RMIRegistry（注册中心）注册，之后客户端都是从注册中心调用方法，RMI分为三个主体部分： Client-客户端：客户端调用服务端的方法 Server-服务端：远程调用方法对象的提供者，也是代码真正执行的地方，执行结束会返回给客户端一个方法执行的结果 Registry-注册中心：其实本质就是一个map，相当于是字典一样，用于客户端查询要调用的方法的引用，在低版本的JDK中，Se...

JNDI介绍 JNDI(JavaNamingandDirectoryInterface，Java命名和目录接口)是为Java应用程序提供命名和目录访问服务的API，允许客户端通过名称发现和查找数据、对象，用于提供基于配置的动态调用。这些对象可以存储在不同的命名或目录服务中，例如RMI、CORBA、LDAP、DNS等。其中NamingService类似于哈希表的K/V对，通过名称去获取对应的服务。DirectoryService是一种特殊的NamingService，用类似目录的方式来存取服务。从介绍看可以知道JNDI分为四种服务 RMI LDAP DNS CORBA RMI之前已经分析过了...

前言 Shiro，一个流行的web框架，养活了一大批web狗，现在来对它分析分析。Shiro的gadget是CB链，其实是CC4改过来的，因为Shiro框架是自带Commoncollections的，除此之外还带了一个包叫做CommonBeanUtils，主要利用类就在这个包里 环境搭建 https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4编辑shiro/samples/web目录下的pom.xml,将jstl的版本修改为1.2 <dependency> <groupId>javax.servlet&...

CC链全称CommonsCollections(Java常用的一个库） 梦的开始CC1 环境部署 JDK版本：jdk8u65Maven依赖: <dependencies> <!-https://mvnrepository.com/artifact/junit/junit--> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.11</version> <scope>t...

前言 早知前路多艰辛，仙尊悔而我不悔。Java反序列化，免费一位，开始品鉴，学了这么久web，还没深入研究Java安全，人生一大罪过。诸君，请看。 序列化与反序列化 简单demo： importjava.io.FileInputStream; importjava.io.FileOutputStream; importjava.io.ObjectInputStream; importjava.io.ObjectOutputStream; importjava.io.Serializable; publicclassserializeimplementsSerializable{ privat...

什么是Pickle？ 很简单，就是一个python的序列化模块，方便对象的传输与存储。但是pickle的灵活度很高，可以通过对opcode的编写来实现代码执行的效果，由此引发一系列的安全问题 Pickle使用 举个简单的例子 importpickle classPerson(): def__init__(self): self.age=18 self.name='F12' p=Person() opcode=pickle.dumps(p) print(opcode) person=pickle.loads(opcode) print(person) print(person.age) pri...

ISCTF2022改名叫套CTF吧(bushi)，博主菜鸡一个，套题太多，挑一些题写下wp，勿喷。 MISC 可爱的emoji   下载下来是个加密压缩包，根据hint掩码爆破密码  得到密码：KEYISAES 解压得到表情包文本，一眼emoji-aes，进https://aghorler.github.io/emoji-aes/，根据压缩包密码KEYISAES猜出emoji密码是AES    Advanced改到9，解密得到flag   两层编码   一开始写脚本爆破过了第一关，后来的5秒交key属实把我雷...

前言 BurpSuite是一款用于攻击web应用程序的集成平台，在安全圈被称作“抓包神器”。本文主要讲解 BurpSuite破解版的安装教程。 配置环境变量  BurpSuite是基于java开发的一款软件，所以在安装之前得先配置java环境。由于BurpSuite只支持 低版本的java环境，所以我们选择安装jdk8，https://www.oracle.com/java/technologies/downloads/java8-windows      下载这个得先注册Oracle账号，这里笔者不在赘述，下载下来是这个样子   &nbs...

兔年大吉 源码如下 <?php highlight_file(__FILE__); error_reporting(0); classHappy{ private$cmd; private$content; publicfunction__construct($cmd,$content) { $this->cmd=$cmd; $this->content=$content; } publicfunction__call($name,$arguments) { call_user_func($this->cmd,$this->content); } pub...

GitLeakage Githack一波带走,下载得到flag v2board 搜索得知V2Board存在越权漏洞，随便注册个账号拿到authorization 访问/api/v1/admin/user/fetch?pageSize=10&current=1     拿到token值，hgame{39d580e71705f6abac9a414def74c466} SearchCommodity 弱口令爆破得到密码admin123，登录进去是一个搜索框，很明显是sql注入，bp构造一个 search_id=1$select$2，f...

前言 受大佬Lzer0Kx(公众号:LK安全)启发，打算整一篇关于CTF-web的学习路线的分享。当然也算是给一些刚入门的小白的一些学习方向，不至于不知道学啥。废话少说，开整！ 以下的所有内容属于我个人的经验分享,且只适用于想入门的小伙伴，以下内容均不会推荐教程，硬要推荐的话请认准https://www.bilibili.com/ 语言篇 这里说的语言基础真是基础，而不是要让你达到可以独立开发一个项目的地步 有一说一，夯实的语言基础是网络安全的必备技能，在学习的过程中我们会接触到各种各样的语言，像c,c,python,php,html,js,java等等。所以学习的第一步，选择一门编程...

前言 之前打某湖论剑，两道js的题，给我整懵逼了，发现以前都没对js做过多少研究，趁着被毒打了，先研究一波js原型链，未雨绸缪。 基础 protype 首先我们研究js原型链，得搞明白原型是什么，这里借用p神的举的一个例子：在javascript中，我们定义一个类，需要以定义“构造函数”的方式来定义： functionFoo(){ this.bar=1 } newFoo() Foo()函数的内容就是构造函数的内容，this.bar是Foo的一个属性，学过c的应该很容易理解，而且后面对原型链的利用也可以仿造c类的思想来理解。 一个类必然有方法，我们可以在构造函数里定义方法： function...

rank:3 flask?jwt? 简单的注册个账号，在/changePassword下查看页面源代码发现密钥<!-secretkey:th3f1askisfunny-->,很好，老套路了，flask-session-cookie-manager伪造，把_user_id改成1，访问/getFlag，拿到flag ez_factors 查看页面源代码，发现路由/factors/114514,访问发现114514被分解，猜测后台逻辑是利用linux命令factor对/factors/后接的字符执行，这样直接用;来个多命令执行，访问/factors/114514;cd..;cd..;cd...

前言 早写好了，忘发了，题目质量还行，够我坐大牢 ezpop 简单的反序列化，exp如下 <?php classnight { public$night; } classday { public$day; } classlight { public$light; }classdark { public$dark; } $n=newnight; $d1=newday; $d2=newday; $l=newlight; $d=newdark; $d3=newdark; $n->night=$d1; $d1->day=$d; $d->dark=$l; $l->lig...

CarelessPy 一进来就是个任意文件下载功能，不过做了些限制，这题从头到尾都在骂杂鱼。。。(虽然我确实是(bushi) 查看页面源代码，给了个/eval/login两个路由，/eval是个目录遍历，/login尝试登录无果，有session，应该需要伪造session，利用/eval查看app下的pyc文件，然后down下载 在线找个pyc反编译，成功拿到密钥 直接flask-session-manager伪造session，登录成功后拿到/th1s_1s_The_L4st_one这个路由，访问查看，xml的页面，猜想存在xxe漏洞，抓个包分析分析，直接payload打，注意得加个C...

Start 除了梦想外一无所有的我们，将会和蔑视与困境做最后的斗争，这是最后一舞 N0wayBack联合战队成立以来一直致力于信息安全技术的研究，作为联合战队活跃在各大CTF（信息安全竞赛）赛事之中，并依靠着过硬的实力吸引了无数同样热爱安全的小伙伴。战队现有师傅20余名，特训学生10余名，包括了研、本科学生，企、事业单位员工以及网安实验室成员，内部氛围融洽，关系和谐。虽然我们可能身份各异、年龄跨岭，但在这里，我们只有一个身份，那就是热爱网安的CTFer 给MiniNK师傅出的web题，正好最近有点心得，又逢考试月，心情难免有点压抑，出题释放释放我的emo情绪。 ezpop 最近做反序列化的...