01 2024 档案
摘要:一个zip文件主要由三部分组成:压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志。 example:ctf中的zip伪加密 压缩源文件数据区: 50 4B 03 04:这是头文件标记(0x04034b50) 14 00:解压文件所需 pkware 版本 ※※※09 00:全局方式位标记(有
阅读全文
摘要:XML外部实体注入XML External Entity Injection即xml外部实体注入漏洞,简称XXE漏洞。XXE是针对解析XML输入的应用程序的一种攻击。 当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。 这种攻击可能导致信息泄露,命令执行,拒绝服务,SSR
阅读全文
摘要:首先进入靶机 代码审计发现,需要get传入1个参数,post传入四个参数;当correct和input相同时,就会输出flag。因此首先需要解决反序列化,再解决md5。 构造序列化的代码,关键在于使得correct input。 ※※※解读base64_encode(uniqid()):对uniqi
阅读全文
