版本:jdk8u25 依赖:Apache Commons Collections 3.1和Apache Commons Collections 4.0123456789101112<dependencies> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId>...

cc2链详解 版本: jdk8u121 依赖: Apache Commons Collections 4.0 1234567<dependencies> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId>...

版本:jdk8u25 TemplateImp链子详解目标函数:defineClass()这和java的动态加载有关,正常来讲,不管是远程加载class文件,还是本地加载class或是jar文件,Java中经历的都是下面这三个方法的调用过程: loadClass从原有的加载过的代码中寻找类,如果找到了直接加载,没有就调用下一个函数。 这个函数会进行双亲委派(委托父加载器加载) 若父加载器无法加载,则调用...

cc1链详解 版本:jdk8u25 依赖:Apache Commons Collections 3.112345<dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId>...

解题情况fix:3/4 brokenscanner-fix网站 12module_waf=["xss_scan.HtmlXssScan","sqli_scan.UnionSqliScan.MySQLScan","sqli_scan.UnionSqliScan.MsSQLScan","xss_scan.JsXssScan"]pos_waf=[["param"],["param&...

EasyMD5叫我们传两个文件,随便传一个1.txt,2.txt上去,发现回显”Not a PDF! angry!!!!!! get out from my page”。那就传1.pdf,2.pdf上去,回显”do you konw what is MD5 Collision?”,大概率让我们用md5collgen进行md5碰撞生成md5值相同的pdf文件。 具体payload:./md5collgen -o 1.pdf...

解题详情misc:签到web:if(False),ezJAVA,Captcha misc签到依旧是那个最难的题,不多说。 webif(False)网页源码: 12345678910111213141516171819<?phperror_reporting(0);show_source(__FILE__);$count = (file_exists('count.db')) ? (int)file_get_contents('count.db') + 1 :...

解题详情misc:签到 学习资料(1) 学习资料(2) 剪切板的秘密web: secret_code 量化评教 反序列化 misc签到最难的题,不多说。 学习资料(1)+学习资料(2)用的是一个文件,所以我写一起了。文件名cat.pcapng,用wireshark流量分析即可。比较重要的两个数据包: 底下就是flag1,然后往后看 提示了我们这个流量包里有藏着zip压缩包,直接改后缀解压 内容一眼十六进制,网络上找一个十六进制转字符即可获得flag2 剪切板的秘密mem文件,考内存取证,根据题目的提示获取剪切板里的内容即可。具体payload:python2 vol.py -f...

打开网站,有上传文件,查看文件这两个功能。 前言第一反应是上传shell连接,被前端拦截了,然后试了下关闭前端上传,发现传不上去,那只能另寻方法了。 正常步骤在”查看文件”这个界面下的url十分可疑,用它来看看index.php 接着跟进看base.php 提示了flag在f1ag.php里面,我们可以直接访问f1ag.php,说明f1ag.php在/var/www/html目录下。 到现在还剩file.php没有看,我们继续访问 分析一下代码,先包含了function.php和class.php两个文件,然后接收file参数,假如不...

打开网站,发现他给我们源码了 1234567891011121314151617import flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return...