PHP反序列化_构造POP链

最近在刷题的时候发现这个PHP反序列化—POP链，之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞，自动调用从而触发漏洞。但如果关键代码不在魔术方法中，而是在一个类的普通方法中。这时候可以通过寻…

 sn0w 18天前

5,231 0 0

SCTF-2021 部分WriteUp

第35名SCTF Web★Loginme代码审计，伪造X-Real-IP就行了，太简单的代码了没啥必要★Upload_itcomposer.json中，引入了两个模块我们通过composer inst…

 Timeline Sec 29天前

5,783 0 0

对一道n1ctf赛题的详细分析

最近做了一道N1CTF2021的题目，学到了不少，分享给大家共同学习。0x01 题目详情题目如下：源码如下：<?php //flag is /flag $path=$_POS…

 合天网安实验室 2021-11-26 15:17:06

4,540 0 0

对一道ctf赛题的详细分析

0x01 前言最近身边有萌新想打ctf，我作为一个曾经接触过一点点ctf的业余菜鸡，就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新，所以很多地方可能都比较简单。如有错误之处，欢迎各位指…

 合天网安实验室 2021-11-24 10:21:11

7,086 0 0

2021深育杯线上赛官方WriteUp-Web篇

WebEasySQL访问robots.txt，可得三个文件index.php、config.php、helpyou2findflag.php。fuzz黑名单，可发现select、单双引号、括号、分号、…

 Further_eye 2021-11-19 9:17:18

4,571 0 0

第五届强网杯青少年专项赛——线上选拔赛部分writeup

楼上大佬ddw战队WRITEUP一、 战队信息战队名称：楼上大佬ddw战队排名：24二、 解题情况三、 解题过程01 签到操作内容：下载附件，打开运行拿到fla…

 Sweet°丶末心 2021-10-21 11:46:08

5,766 0 0

第五空间WP

WEBPNG图片转换器payloadruby open 命令执行/covertpost file=|`echo "payload" | base64 -d`||echo${IFS}…

 Dem0 2021-09-27 16:36:58

7,439 0 1

部分sql注入总结

前言本人ctf选手一名，在最近做练习时遇到了一些sql注入的题目，但是sql注入一直是我的弱项之一，所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在可以联合查询的题目中，…

 合天网安实验室 2021-08-23 12:03:21

7,120 0 4

[二进制安全]CTF中那些古典密码

一. 古典密码1.凯撒密码（Caesar Cipher）凯撒密码是一种非常古老的密码，其原理是通过字母的位移将原文和密文一一对应。 举个例子：明文是“Hello world”，偏移量为3。 所以A--…

 李志宽 2021-08-04 13:39:50

7,131 0 2

听说你还不会UAF？

前言 这道题目反应了uaf的基本原理，pwn入门必做的题目，如果这一块了解的不够透彻，直接去打现在涉及各种奇技淫巧的pwn，肯定会被绕晕掉。所以为了照顾萌新（其实是我自己菜）把这道题目单独拿…

 合天网安实验室 2021-07-19 15:13:34

5,653 0 9

通过几道CTF题学习yii2框架

简介Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架，Yii2 2.0.38 之前的版本存在反序列化漏洞，程序在调用unserialize()时，攻击者可通过构造特定的恶意请求执…

 合天网安实验室 2021-06-18 16:40:10

6,900 0 2

通过几道CTF题学习Laravel框架

Laravel5.8.x反序列化POP链安装：其中--prefer-dist表示优先下载zip压缩包方式composer create-project --prefer-dist&…

 合天网安实验室 2021-06-17 17:05:44

4,765 0 1

MTCTF2021 部分WriteUp

MTCTF Web★sql黑名单了引号，username填反引号，之后正则注入，注意略过特殊$ . * ? ^：import requests import time def&nb…

 Timeline Sec 2021-05-27 17:22:21

6,159 0 4

【偶尔一道ctf】xctf adword mobile easy-apk

最近在学习ctf，偶尔会做一些ctf题，打算记录下做题的步骤和思路，打算学习ctf的小白可以跟着一起动手学习。本题是安卓题目。题目apk下载地址https://adworld.xctf.org.cn/…

 timeshatter 2021-05-18 16:36:08

2,627 0 1

尝试用代码解CTF题-找茬游戏

今天玩一个找茬游戏。但是我们不是用眼睛找，我们用代码找。最近做的题基本都是用工具做题，这次来尝试一下用代码解题。来看题目解压附件cry200.zip，得到两张图片（附件在c盘根目录下的解密200文件夹…

 合天网安实验室 2021-04-23 10:32:41

4,429 0 1