光辉的blog啦~~

写在前面 初赛 Simple_php easycms easycms_revenge ez_java(unsolved) 华北分区半决赛 wp brokenscanner crazydata fury 碎碎念 国决 awdp sharecard SolonMaster ezjs 渗透 ERP WIN-OPS88 WIN-PC3788 Jinkens Gitlab RODC 后日谈 写在前面 这次国赛的全过程可以说每一步的结果都在意料之外，诞生了很多想吐槽的东西，最终也是 rank14 成功拿下了国一，K👴也光荣退役了。 初赛 我测真 nm 诸神黄昏，是个人都在框框上分，尤其是最后一小时的黑灯搏杀，真 nm 离谱。 Simple_php 123456789101112131415<?phpini_set('open_basedir', '/var/www/html/');error_reporting(0);if(isset($_POST['cmd'])){ ...

写在前面 👴以为只能复现 webshell, 但没相到，ez_oracle 有师傅写了 wp,pop-chain 大头👴不仅写了 wp, 还做了复现环境. 以下是参考文献捏: 2023 京麒 CTF solo-pop (yuque.com) 2023 京麒 CTF ez_oracle Writeup - X1r0z Blog (exp10it.cn) 南邮的 N1✌ Oracle 注入 RCE 由浅入深 - Boogiepop Doesn’t Laugh (boogipop.com) 大 B 哥！ solo-pop 比赛时，⛰️📦靠着一个非预期拿下了一血，我就来看看预期咋干的. 1docker run -it -d -p 12345:80 -e FLAG=flag{8382843b-d3e8-72fc-6625-ba5269953b23} ccr.ccs.tencentyun.com/lxxxin/public:jqctf2023-solo-pop 我阐释你的梦，本地跑不了，报个什么 EOF 错误，放在 VPS 上 nmd 瞬间跑起来了😅😅 robot ...

写在前面 nmd 新生赛一堆老东西来💥🐟是吧. 👴本来出了三道题，但是有道题因为名字写错了，导致没上成，👴真 tm 是个 sb,👴自认为题目出的简单了，以下细说. 废案之 easy_php 👴tm 本来投题写的是 easy_php, 结果在出题文档写了 ez_php,Xenny 老师没给我上，不过没啥事，毕竟这题太简单了. 1234567891011121314151617181920212223242526272829303132333435363738<?phphighlight_file(__FILE__);error_reporting(0);$num = $_GET['num'];$param1 = $_GET['param1'];$param2 = $_GET['param2'];if($param2!==$param1&&md5($param2)===md5($param1)){ echo "太好了,你绕过了最简单的一层<br/>&quo ...

写在前面 先学一波 FastCGI fpm 任意代码执行 源码鉴赏一波 信息搜集 扫目录 连接 mysql 自动化脚本 主逻辑 参数处理 yield 首先来看看非常抽象的一道懒猫杯 源码鉴赏一波 绕过 openbase_dir 首先准备一个恶意的 so 生成 fpm 恶意数据 ftp 利用 最终 exp 题目的 fpm 怎么打 ArrayObject 的妙用 fpm 生成 完整 exp 写在前面 md,JQCTF 又被叫起来打比赛了，然而👴tm 翔都被打出来了。其中有一道题比较有意思，而且👴和⛰📦giegie 当时也是做到了一半，出了一半的 flag, 于是便想着复现一波这个题，⛰📦giegie 是真强，要到了 docker. FTP 被动模式 / PHP-FPM 攻击利用总结 - Boogiepop Doesn’t Laugh (boogipop.com) AmiaaaZ’s Site | 攻击 PHP-FPM 学习笔记 感谢大 B 老师和葵子姐姐的❤. https://woshilnp.github.io/2021/06/15 / 蓝 ...

算 pin 码 ctfshow801 回到题目 总结 hellojava 熟悉 jackson 回到题目 坑点 aliyunbapassit FUMO_backdoor 复制 flag 写 session 读 flag~ Monitor import check 路由 flag 路由 SycServer readfile 路由 file-unachive admin 路由 easyChek1n https://xz.aliyun.com/t/2553#toc-2 ppy 传 session，条件竞争才能跑出来。 直接网上搜一个双线程改一下。 1234567891011121314151617181920212223242526272829303132333435import threading import requests# import io# import threading url = "http://192.168.229.132/include.php"data = {'PHP_SESSION_ ...

写在前面 easy latex new URL 特性😂 运用到题目🤪 visit 触发 hooks what is webhook🤔 Abusing Jenkins login 开打😤 ~Ave Mujica’s Masquerade~ 源码，冲😓 story 源码🤔 写在前面 呜呜呜，shanhegiegie 太猛了，打了一天懒猫，第二天还要上课，周六补课，是谁啊，原来是👴啊，那没事了 (nmsl). 参考: https://wm-ctf-team.feishu.cn/docx/PLbbdhwdyoAefuxokXwcYppzn1c 微信公众平台 (qq.com) easy latex new URL 特性😂 先来个小 demo 1234const username = "43.143.192.19:1145"const vip_url = "http://vip:5000/"console.log(new URL(username,vip_url)) 如此，pathname 是我们 ...

写在前面 Single_php Opcache SoapClient Ezfastjson Nomap 参考文献😊 调用链 writeObject 内存马 kali_tips EzPenetration 扫 wp 写在前面 这次 DAS 是我们 0psu3 成员出的题，这也是我第一次出题给各位师傅做，有出得不好的地方还希望师傅们轻点喷😭😭😭. 我出的是 Single_php , 一开始只是想出一个 Opcache 扩展漏洞的，通过文件上传到 /tmp 目录下覆盖的，后来在思考，怎么给师傅们 phpinfo, 于是我就想起了可以通过数组的形式调用任意无参方法，于是我又改了一下，打算配套整个 SSRF, 众所周知，调用 SoapClient 不存在的方法，就可以打 SSRF, 通过 UA 进行报文伪造，而且又涉及到文件上传，压缩包的数据在报文里面一般都是乱码，伪造起来比较麻烦，于是我通过 python 发包，获取 body, 于是就有了这道题的打法. 另外本文中，我还会整一个 Ezfastjson 的内容，分享一些微不足道的小知识，还请师傅们手下留 ...