【HITCON2017】SSRFme 1.看题 代码： <?php if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $http_x_headers=explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR']=$http_x_headers[0]; } echo$_SERVER["REMOTE_ADDR"]; $sandbox="sandbox/".md5("orange".$_SERVER["REMOTE_ADDR"]); sandbox/786c0b7e11c...

【MRCTF2020】Ezpop_Revenge——PHP原生类SSRF 1.收获 CMS初审计 google、baiduhack PHP原生类反序列化 2.看题 2.1读源码 网页存在源码泄露，访问www.zip，得到源码。同时要知道，typecho模板是存在反序列化注入漏洞的，但是其存在于install.php，本题中没有这个文件，所以找找其他线索。 flag.php: <?php if(!isset($_SESSION))session_start(); if($_SERVER['REMOTE_ADDR']="127.0.0.1"){ $_SESSION['flag']="MR...

【原型链污染】Python与Js 一、背景 最近在TSCTF的比赛题中遇到了Python的原型链污染题目，所以借此机会学习一下。说到原型链，最多的还是在Js中，所以就一并学习一下。（因为是菜鸡所以文章可能的存在一些错误，欢迎批评指正）。 二、JS原型链简介 原型是Js代码中对象的继承方式。其实和别的语言的继承方式类似，只不过这里将父类称之为原型。可以在浏览器控制台中测试以下代码： constmyObject={ city:"BJ", greet(){ console.log(`Greetingsfrom${this.city}`); }, }; myObject.greet(); 这是一个...

【XCTF】Zhuanxv 收获 java题的一般流程 HQL注入 SQL注入 看题 目录扫描dirsearch扫目录，发现list目录：一个登录界面，本着尽量不写sql注入题目的原则（因为太菜了这方面，抓包查看代码：js代码中为了加载图片直接写出了后台存储图像路径，那试试能不能通过这个url和参数直接读取源码。 读源码先查看web.xml文件：http://61.147.171.105:54826/loadimage?fileName=../../WEB-INF/web.xml 直接得到bg.jpg文件，更改其后缀为xml：<?xmlversion="1.0"encoding="...

【安洵杯2019】easy_serialize_php 收获 php反序列化逃逸 数组变量覆盖 POST请求体传递数组 分析 代码：<?php $function=@$_GET['f']; functionfilter($img){ $filter_arr=array('php','flag','php5','php4','fl1g'); $filter='/'.implode('|',$filter_arr).'/i'; returnpreg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION); } $...

[ZJCTF2019]NiZhuanSiWei 收获 file_get_contents绕过 include联想伪协议 熟悉__tostring魔术方法的使用 题目 代码：<?php $text=$_GET["text"]; $file=$_GET["file"]; $password=$_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')="welcometothezjctf")){ echo"<br><h1>".file_get_contents($text,'r...

【原型链污染】Python与Js 一、背景 最近在TSCTF的比赛题中遇到了Python的原型链污染题目，所以借此机会学习一下。说到原型链，最多的还是在Js中，所以就一并学习一下。（因为是菜鸡所以文章可能的存在一些错误，欢迎批评指正）。 二、JS原型链简介 原型是Js代码中对象的继承方式。其实和别的语言的继承方式类似，只不过这里将父类称之为原型。可以在浏览器控制台中测试以下代码： constmyObject={ city:"BJ", greet(){ console.log(`Greetingsfrom${this.city}`); }, }; myObject.greet(); 这是一个...