
DiceCTF 2025 Quals Writeup
cookie-recipes-v3 源码中关键的比较在 /deliver 路由,只要用户输入的数字大于 1_000_000_000 即可,但 /bake 中对输入的数字长度进行了判断。 app.post('/bake', (req, res) => { const number = req.query.number if (!number) { res....
cookie-recipes-v3 源码中关键的比较在 /deliver 路由,只要用户输入的数字大于 1_000_000_000 即可,但 /bake 中对输入的数字长度进行了判断。 app.post('/bake', (req, res) => { const number = req.query.number if (!number) { res....
Cyber Attack 题目使用 apache2 作为服务端,配置文件中对特定的 cgi 进行了访问控制。 ServerName CyberAttack AddType application/x-httpd-php .php <Location "/cgi-bin/attack-ip"> Order deny,allow Deny from all ...
Web baby layout Web: http://1.95.153.158:3000 Admin bot: http://1.95.153.158:1337 使用了 DOMPurify 来防护,使用的是最新的版本 参考: https://mizu.re/post/exploring-the-dompurify-library-hunting-for-misc...
pyjail 沙箱逃逸原理 绕过删除模块或方法 绕过基于字符串匹配的过滤 绕过命名空间限制 绕过多行限制 绕过长度限制 变量覆盖与函数篡改 绕过 audit hook 绕过 AST 沙箱 绕过输出限制 绕过 opcode 沙箱 利用生成器栈 本文仅作为个人学习记录,大部分参考自下面的文章,讲解得...
pyjail 沙箱逃逸原理 绕过删除模块或方法 绕过基于字符串匹配的过滤 绕过命名空间限制 绕过多行限制 绕过长度限制 变量覆盖与函数篡改 绕过 audit hook 绕过 AST 沙箱 绕过输出限制 绕过 opcode 沙箱 利用生成器栈 绕过基于 opcode 的沙箱 获取代码对象的字节码...
将 gitbook 项目迁移到 mkdocs 很多参考文档使用 gitbook 搭建,例如 hacktricks-cloud,由于 gitbook 不开源,如果想要将文档离线部署,就不得不更换其他文档生成工具,如 mkdocs、teedocs、docksify 等。 尝试了 teedoc 和 mkdocs,都存在部分问题: teedoc 对于 markdown 图片链接的解析还存在问...
信息收集 fscan └─$ fscan -h 10.10.110.0/24 ___ _ / _ \ ___ ___ _ __ __ _ ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / / /_\\_____\__ \ (__| | | (_| ...
WEB happygame 题目提供了一个 gRPC 服务。gRPC 是一个由 Google 初始开发的高性能、开源的远程过程调用(RPC)框架。网上已有不少针对 gRPC 的安全研究: 【Black Hat Asia 2021系列分享】自动化挖掘 gRPC 网络接口漏洞 gRPC内存马研究与查杀 - 先知社区 gRPC 框架如下所示: 可见服务端由 Java 编写。 针...
前端安全:CSS 注入 css 注入通常用于窃取页面敏感信息,例如 csrf-token,csp 中的 nonce 值等。通常配合 xss、csrf 漏洞一同使用。 CSS 注入原理 下面的 payload 展示了一个窃取 csrf-token 的示例。 <!DOCTYPE html> <head> <style> form:...
0CTF Mathexam Writeup mathexam 系列非常有意思,主要考察如何在受限的 bash 下完成端口转发,题目的场景可以适用到一些小设备的渗透中。利用思路总结如下: mathexam-1:bash -eq 注入 mathexam-2:利用 busybox nc 完成端口转发。 mathexam-3:去掉了 buxybox,利用 cat 完成端口转发。 m...