24kmagic

[SUCTF 2019]EasyWeb1特详解(无字符数字注入+木马图上床)前期知识点：1.php内置函数：count_chars(string $string, int $mode) 模式 ($mode) 它的逻辑（翻译成人话） 返回值类型 举例：”banana” 0 统计 0~255 所有 ASCII 码出现的次数。 数组 (Array) 一个超长数组，[97]=>3, [98]=>1... 其余没出现的都是 0。 1 只统计出现次数大于 0 的字符。 数组 (Array) [97]=>3, [98]=>1, [110]=>2 (a, b, n 的次数) 2 看看哪些字符你没用过。 数组 (Array) 除了 a, b, n 以外所有字符的数组。 3 把用过的字符去重、排序、拼成字符串。 字符串 (String) "abn" 4 把没用过的字符按顺序拼成字符串。 字符串 (String) " !#...cdef..." (除了 a, b, n 以外的所有字符) 2.解析正则匹配...

cve_2018_16509漏洞复现之沙盒绕过（ghostscript）123456789 名称: vulfocus/ghostscript-cve_2018_16509:latest 描述: GhostScript 被许多图片处理库所使用，如 ImageMagick、Python PIL 等，默认情况下这些库会根据图片的内容将其分发给不同的处理方法，其中就包括 GhostScript。在 9.24 之前的 Artifex Ghostscript 中发现了一个问题。能够提供精心制作的 PostScript 以使用“管道”指令执行代码的攻击者可能会在处理 /invalidaccess 异常期间使用不正确的“特权恢复”检查 0x00 漏洞基本信息CVE 编号：CVE-2018-16509 漏洞类型：沙盒绕过 / 远程代码执行 (RCE) 受影响组件：Ghostscript 9.24 之前的所有版本 成因：利用 restores 操作中的内存不一致性，通过制造一个伪造的异常状态，使内核在自同步过程中，将 LockSafetyParams 从 1 误写为 0。 Ghost...

cve_2022_22890漏洞复现-没有公网ip怎么进行反弹shell?-spring-data-mongo0x01 漏洞描述：123456789101112131415 名称: vulfocus/spring-data-mongo-cve_2022_22890:latest 描述: Spring Data MongoDB SpEL Expression injectionSpring Data MongoDB 应用程序在使用带有 SpEL 表达式的 @Query 或 @Aggregation-annotated 查询方法时容易受到 SpEL 注入的影响，如果输入未经过过滤，则该表达式包含用于值绑定的查询参数占位符。请求URI：/请求方式：GET请求参数：name=T(java.lang.String).forName('java.lang.Runtime').getRuntime().exec('touch /tmp/bmh') 0x02 知识点1.SpEL（Spring Expression Langu...

thinkphp:6.0.12漏洞复现0x01 漏洞介绍漏洞成因：由于多语言功能里面的路径拼接行为导致的目录穿越，以及此功能的没有过滤的文件包含功能 1234567891011 名称: vulfocus/thinkphp:6.0.12 描述: ThinkPHP 是一个快速、简单的面向对象的轻量级 PHP 开发框架，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。如果 Thinkphp 程序开启了多语言功能，攻击者可以通过 get、header、cookie 等位置传入参数，实现目录穿越+文件包含，通过 pearcmd 文件包含这个 trick 即可实现 RCE。访问路径诶：/public/index.php 0x02 思路想实现一个带有木马的文件被解析这个目标，首先我们要存在木马文件（没有的话写入一个），当然还要具备解析能力——也就是文件包含，其次我们需要这个文件的路径： 1.关于路径和文件包含：多语言功能实现目录穿越 多语言功能是通过包含语言文件来实现功能的。也就是会需要：include $file;（include...

NewStar CTF 2025 Week3-mirror_gate题解文件解析+上传漏洞0x01 题目：文件上传解析漏洞 0x02 思路：若是文件上传就要注意就算文件后缀过了，但是文件内容的恶意代码也会被识破 这种木马肯定不行，用 1RIFFWEBPVP8<?=`cat /f*`; ?> 但是一开始我的思路并不是直接文件上传，我先看了一眼源代码 发现提示 base64解码得到： 去看一眼这个/uploads/ 得到 那还说什么，肯定有东西啊，dirsearch开扫 很奇怪，一开始上传.htaccess的时候是被过滤掉的 打开/uploads/.htaccess 啥意思：意思就是凡是.webp结尾的文件我们php都会把它当作.php的文件解析 一开始我试了flag.webp，发现还是不行 还有种思路，重新上传webp结尾的木马 温馨提示：1.加个文件头别忘记，因为你不加他还是不让你上传成功 2.因为它自身的.htaccess文件，导致你上传抓包时是有些语句冗余的（会导致他把你的木马当作普通文件解析了），删掉即可，...

NewStar CTF 2025 Week1 - Misc OSINT：天空 belong知识点：Open Source Intelligence 开源情报（Open Source Intelligence, OSINT）是现代情报分析、安全研究、尽职调查的利器，通过公开信息挖掘高价值线索。本文系统梳理了OSINT数据源与工具，涵盖关系分析、数据集、地理定位、社交媒体、企业信息、威胁情报、APT研究、事实核查、公共记录等领域，为分析师提供全面参考。 推荐阅读帖子：接下来先推荐一个大佬的帖子 –> ”[首发]开源情报分析（OSINT）实战指南：从基础到高级的信息收集技术“https://xz.aliyun.com/news/17607 另外一篇 –> “开源情报（OSINT）数据源与工具全攻略”https://zhuanlan.zhihu.com/p/1937056741192860299 爬虫下载（跟解题无关，拓展）我们需要做的就是挖取情报了，刚刚那两个帖子挺有趣的，说实话我从来没有这么“系统”地学习过这种“视奸”方法。 于是花费了半天时间来kaihe自己和好朋...

NewStar CTF 2025 Week2-Web真的是签到诶一开始一直在错，脚本怎么写都不对， 看了以下很多大佬的题解比较简单， 于是自己琢磨整个题解 源代码： 12345678910111213141516171819202122232425262728293031323334353637 <?phphighlight_file(__FILE__);$cipher = $_POST['cipher'] ?? '';function atbash($text) { $result = ''; foreach (str_split($text) as $char) { if (ctype_alpha($char)) { $is_upper = ctype_upper($char); $base = $is_upper ? ord('A') : ord('a'); $offset = ord(strtolo...

[SWPUCTF 2025 秋季新生赛]ezez_include方法一：日志文件包含一开始考虑的是文件上传，dirsearch扫描出来有upload页面 结果根据响应页面这个版本的文件上传漏洞完全做不出来，服务器解析不了 换个思路，文件包含 利用日志包含漏洞 什么是日志包含漏洞：就是把恶意代码塞在日志中，然后利用包含漏洞读取日志时就可以查看了过程：（针对于访问日志）1.发送访问请求： 修改 User-Agent 或访问带代码的 URL 服务器会自动把你的请求写进磁盘上的日志文件 123User-Agent：<?php phpinfo(); ?>或者GET /<?php phpinfo(); ?> HTTP/1.1 2.访问日志： 利用漏洞include 这个日志文件 /var/log/nginx/access.log payload: 改ua和nss 方法二：文件上传漏洞写完看了一下大佬们的题解，发现其实我尝试过蚁剑连接中就差一个步骤就成功了：因为我没有真正激活木马 很容易发现文件（这里指jpg文件，估计是...

明文攻击详解NewStar CTF 2025 Week1 - Misc 城邦：压缩术前期准备：010打开发现里面有很多压缩包和文件，用foremost分离 1234567891011121314151617181920212223242526272829zsh: corrupt history file /home/kali/.zsh_history┌──(kali㉿kali)-[~/Desktop]└─$ binwalk compression-magic.zipDECIMAL HEXADECIMAL DESCRIPTION--------------------------------------------------------------------------------0 0x0 Zip archive data, encrypted at least v2.0 to extract, compressed size: 417, uncompressed size: 516, name: bkcra...

reverse31123456789101112131415161718192021 for ( i = 0; i < 100; ++i ) { if ( (unsigned int)i >= 0x64 ) j____report_rangecheckfailure(); Destination[i] = 0; } sub_41132F("please enter the flag:", v7); sub_411375("%20s", (char)Str); v3 = j_strlen(Str); v4 = (const char *)sub_4110BE(Str, v3, v14); strncpy(Destination, v4, 0x28u); v11 = j_strlen(Destination); for ( j = 0; j < v11; ++j ) Destination[j] += j; v5 = j_strlen(Destination...