技术
fastjson的绕过史
0x00 1.2.24初版的payload
先从初版的payload说起吧 也就是fastjson 1.2.24以下版本的payload
{"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesIm[......]
先从初版的payload说起吧 也就是fastjson 1.2.24以下版本的payload
{"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesIm[......]
node的题没做
题目难度比较适中
做的时候没写wp 所以就随手写一下得了 懒得回去再截图了
拿到offer之后摸鱼了一段时间 总算也回到正轨了
Typecho的反序列化 之前发过分析和exp
文章首发于先知社区:https://xz.aliyun.com/t/7744
挖出来之后看了下官网发现不到半个月之前更新了最新版,下下来之后发现这洞修了..我吐了
干脆直接发出来 分享下思路吧
漏洞发生在PbootCMS内核的模板解析函数中
为了方便看直接上一个完整的Parser代[……]
面试自闭了 实战太菜了
无内鬼 审点链子
tp6没有之前的直接触发tostring的windows类了 所以要绕一下 触发了tostring之后就还可以走一条跟之前类似的路
起点是model类的destruct 跟进save
需要调用的方法在updateDate 前面的return很好控制
跟进[……]
起因是跟北邮天璇的师傅聊天的时候聊到mrctf的ezpop-reverage有非预期 其实就是typecho1.1 rce的链子没过滤好,然后我就自己写了个exp 打了一发试试,结果本地打通,远程500了。干脆就不去纠结苛刻的回显利用问题,直接去看看typecho1.1的rce洞。
这个洞[……]
最近心情很有点问题 颈椎也不如以前了 效率是低了不少
不过还是
四月快乐呀
不说咯 都一样的
tp5.1.37的链子是比5.0要简单不少的 而且利用也很方便
因为5.1.37有一个十分好用的request类的__call方法 可以直接调用
那废话不多说 直接正片
前半段是一模一样的[……]
最近一边划水一边看了点审计,看完了tp文档,然后今天大概审了下tp5.0.14的链子
不会放exp,只写挖掘的流程,会尽可能还原我踩得坑。不得不说框架的反序列化跟平时ctf做的那些不是一个级别的,5.0.x的链子貌似还是相对比较复杂的,按朋友的话是我上来就选了个最难的- -也确实审的有点自闭。简单写[……]
不得不说我是真的菜的抠脚
把自己出来的和跟自己有关的题还有做了没做出来的写一下吧
注册那里有个110的注释,注册type为110之后登上去之后就可以访问flag.php
(不得不说0202年还玩这种睿智套路也是没谁了 当然这个题还不是最睿智的 这边建议easy_trick_gzmtu出题人[……]
从12点到现在肝了十几个小时 总算是把web做完了
太菜了我 这几个题其实不该花这么久 随机应变的能力很有问题(可能也跟没睡够有关系
不过还是学到了很多东西 赵师傅出的题太强了
顺便膜一下114师傅 两个小时akweb 太顶了
ctfd前几天的CVE
参考了这个文章
为什么是两道呢 因为node不会
比较简单的ssti payload没记
反正就是用字符串拼接执行命令就能getflag了
最开始以为是要考pin码 还抱怨了一下没有动态靶机。。
结果这个过滤不太走心 直接就能rce了
tp6前一阵子爆出来[……]