为什么是两道呢 因为node不会

00x0 flaskapp

比较简单的ssti payload没记
反正就是用字符串拼接执行命令就能getflag了
最开始以为是要考pin码 还抱怨了一下没有动态靶机。。
结果这个过滤不太走心 直接就能rce了

00x1 easythink

tp6前一阵子爆出来的任意写文件getshell
在session处理的时候 如果session正好是32位 就会直接写入session文件不作任何过滤
就可以构造一个包括.php后缀名的 session文件 然后因为他会把你历史搜索记录存在session里 就能写webshell了
比较搞笑的是因为这题没有动态靶机 我上去看了session目录 随手点了一个师傅的马 发现他没关错误回显 直接把eval的参数爆出来了 我就骑上去蹭了个车
然后绕disablefunction也是用了最近新发出来的一个exp
看了下描述好像用的是php三年前的bug 二进制爷爷挖的洞我一个垃圾web狗肯定是不太懂原理 所以直接用8
https://github.com/mm0r1/exploits
我用的是backtrace的exp

讲道理我还是太菜了 技术栈不足导致短板非常明显
溜了溜了 开启离散数学

分类: 技术

0 条评论

发表评论

邮箱地址不会被公开。 必填项已用*标注