TFCCTF 2025 minijail - Bash 下有限字符的极限构造
TFC CTF 中碰到了一道 bashjail,限制只能使用 $>_=:!(){} 这几个字符 1. 赛题分析 赛题源码如下: yo_mama #!/bin/bash goog='^[$>_=:!(){}]+$' while true; do echo -n "caca$ " stty -echo read -r mine stty echo...
DummyKitty's Blog
TFCCTF 2025 Πjail - syscall 降权绕过
TFCCTF 2025 中遇到了一道比较有趣的 pyjail —— Πjail(3.14 -> Π 🤣)。其限制的方式是通过系统调用强制使脚本权限降级为 nobody,然后再来执行 python 代码。flag 设置为 700 的权限,flag 本身为 root 创建,因此 nobody 是无法读取到 flag 的。 这道题当时没有做出来,本文仅为赛后 poc 的学习记录。 1. ...
Ubuntu 20.04 ppa:ondrej/php 源失效😨
Ubuntu 20.04 PPA 源失效😨 今早起来在祖传的 ubuntu 20 上安装 php 扩展,突然怎么都定位不到 package。 root@ubuntu:/# apt install php8.0 Reading package lists... Done Building dependency tree Reading state information... D...
L3HCTF 2025 TellMeWhy —— Fastjson 高版本 Getter 利用
赛题分析 存在 solon 3.3.1、fastjson2:2.0.57 、freemarker、HikariCP:4.0.3 依赖。 HomeController 存在反序列化操作,MyInputObjectStream 进行过滤,禁掉了一些 toString 入口。 进入序列化之前还有一堆奇怪的过滤。 MyFilter /baby/** 下的路由只允许...
R3CTF 2025 no-brackets —— CGO 符号劫持
本文仅为 R3CTF 2025 payload 分析以及学习记录,payload 来自于 @cinabun 什么是 CGO CGO 是 Go 语言提供的一个机制,允许 Go 程序调用 C 语言编写的代码。CGO 的核心功能包括: 双向调用:Go 可以调用 C 函数,C 也可以调用 Go 函数 数据类型转换:在 Go 和 C 之间自动进行数据类型转换 内存管理:处理 Go 和...
GoogleCTF 2025 MYTHOS Writeup
Google CTF 2025 中一道涉及 perl 符号覆盖的题目。一个比较典型的示例如下, setAttribute 函数可以动态地设置包中变量甚至函数。如果 $dst 或 $key_name 可控,攻击者可以覆盖任意包下的符号,甚至系统内置包(如 CORE、UNIVERSAL 等)。 sub setAttribute { my $dst = shift; # 目...
GoogleCTF 2025 Internship Writeup
来自 Google CTF 的一道 pyjail,主要涉及构造代码对象时的各种注意事项和规范。 题目简介 题目信息如下: We just hired an intern, and they kept telling me their Python shell returns 1 when they asked for 2, and 6 when they asked for 9, a...
DiceCTF 2025 Quals Writeup
cookie-recipes-v3 源码中关键的比较在 /deliver 路由,只要用户输入的数字大于 1_000_000_000 即可,但 /bake 中对输入的数字长度进行了判断。 app.post('/bake', (req, res) => { const number = req.query.number if (!number) { res....
Cyber-Apocalypse-CTF-2025 WEB Writeup
Cyber Attack 题目使用 apache2 作为服务端,配置文件中对特定的 cgi 进行了访问控制。 ServerName CyberAttack AddType application/x-httpd-php .php <Location "/cgi-bin/attack-ip"> Order deny,allow Deny from all ...
TPCTF 2025 Web Writeup
baby layout Web: http://1.95.153.158:3000 Admin bot: http://1.95.153.158:1337 使用了 DOMPurify 来防护,使用的是最新的版本 参考: https://mizu.re/post/exploring-the-dompurify-library-hunting-for-misconfig...