Blog of AyaN0

VNCTF...

文件上传漏洞大部分是需要回显储存路径才能打后续操作的，如果没有回显路径要不再想想。？(雾) 前端检测前端检测上传文件的后缀，js检测直接禁用js 后端检测检测content-type检测你发包的Content-Type参数来判断文件上传类型 一般你改一下content-type就可以绕过了 检测文件头判断文件类型字义，使用getimagesize()函数来获取文件的MIME类型，此时检测的不是数据包中的content-type，而是文件头 这种时候伪造一下就可以 gif(GIF89a) : 47 49 46 38 39 61 jpg、jpeg : FF D8 FF png : 89 50 4E 47 0D...

SSTI(模板注入)漏洞模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的html代码，模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，然后放到渲染函数里，然后生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。 模板引擎也会提供沙箱机制来进行漏洞防范，但是可以用沙箱逃逸技术来进行绕过。 模板注入漏洞SSTI 就是服务器端模板注入（Server-Side Template Injection） 当前使用的一些框架，比如python的flask，php的tp，java的spring等一般都采用成熟的的MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。 漏洞成因就是服务端接收了用户的恶意输入(一般来说是用户输入的变量)以后，未经任何处理就将其作为 Web...

菜鸟第一次打这种公开赛，感觉被橄榄了，第二天两个pyjail是一点办法都没有啊。。。 听C3师傅说这还不算是上强度的 而且准备转型Web却只做出来一个签到属于是。。有点丢人了 还是要多练，下次努力不啃Misc老底 MISC简单算术：根据提示，想想异或，直接尝试Cyberchef一把梭 See anything in these pics?附件给了一个压缩包和一张阿兹特克码 解析得到 怀疑是压缩包的密码，带入解压压缩包，解压成功，得到一张jpg 看图片结合提示(图片不止两张)猜测一共有三张图，打开010查一下，发现PNG头 foremost提取一下发现是全黑的，猜测是crc校验错误，打开010发现报错检验猜想，最后随波逐流直接出(也可以直接随波逐流一把梭) 压力大，写个脚本吧先试着解压几个包，把给的密文base64解码后是FGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFGFG 然后发现后面几个包的密文都是一样的，写个脚本直接爆 import zipfile import re zipname =...

RCE（远程代码执行漏洞）原理及漏洞相关RCE，Romote Code Execution漏洞，即通过向后台服务器远程注入系统命令或代码来控制后台系统 系统命令执行函数 *** system() 语法为system(string $command, int &$return var = ?) *** passthru() system()的平替，写个命令就会执行命令，自己能回显 *** exec() 示例exec("cat /flag")，其本身没有回显 *** shell_exec() 格式分别为shell_exec（ls）和`ls`,不能自己回显，需要借用echo\print等输出结果 *** popen() 语法为popen(string $command, string $mode),command参数: 要执行的命令,mode参数: 模式'r'表示阅读，'w' 表示写入。不能自己回显，需要print_r等输出内容 *** proc_open()...

文件包含漏洞依赖于include(),require(),include_once(),require_once()这些函数的漏洞 什么叫包含呢？以PHP为例，我们常常把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含 有时候由于网站功能需求，会让前端用户选择要包含的文件，而开发人员又没有对要包含的文件进行安全考虑，就导致攻击者可以通过修改文件的位置来让后台执行任意文件，从而导致文件包含漏洞。 #...

...

...