xxe漏洞
XXE简介xxe漏洞原理未对外部实体进行限制,导致攻击者将代码插入到xml文件中,服务器读取xml恶意文件,形成外部实体注入,产生文件任意读取,命令执行,ssrf等漏洞。 xmlXML 指可扩展标记语言(eXtensible Markup Language)。 XML 被设计用来传输和存储数据,不用于表现和展示数据,HTML 则用来表现数据。 在xml中对实体的引入的方法是:&xxe; DTDDTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。 DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。payload存在的位置 DTD的格式: 12<!ENTITY entity-name "entity-value"> 内部实体的声明<!ENTITY entity-name SYSTEM "URI/URL"> 外部实体的声明 对于外部实体是可以使用php伪协议和file伪协议的,实现文件的任意读取等漏洞 xxe漏洞利用(有无回显)题目名称[NCTF 2019]Fake XML cookbook有回...
cmctfwp
web小猿口算签到重生版123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051(function autoSolve() { function getExpressionAndSolve() { $.ajax({ url: '/generate', method: 'GET', success: function (res) { let expr = res.expression; // 去除问号和等号,例如 "98+24+70+80=?" expr = expr.replace(/=*\?*$/, '').trim(); let answer; try { answer = eval(expr);...
HNCTFWP
WEBReally_Ez_Rce 第一步用数组就能直接绕过,第二步经过测试可以用$5进行隔断执行命令, 拿到flag ez_php1234567891011121314151617181920212223242526272829303132<?phperror_reporting(0);class GOGOGO{ public $dengchao; function __destruct(){ echo "Go Go Go~ 出发喽!" . $this->dengchao; }}class DouBao{ public $dao; public $Dagongren; public $Bagongren; function __toString(){ if( ($this->Dagongren != $this->Bagongren) && (md5($this->Dagongren)...
Litctf2025
webnest_js 弱密码,爆破得到用户名和密码为,admin,password 星愿信箱 1过滤了{{}}双写的大括号,利用{%%}绕过,cat /flag利用 nl /f* 进行绕过 ez_file 这边有一个重定向,可以进去看一下 这边又一个文件包含,可以上传jpg,进行文件包含。 传马 得到flag 多重宇宙日记知识点: 本题考的是原型链污染,在js语言中每个对象都有__proto__属性,指向了构造函数的原型对象,当我们可以对键名进行控制并且字符串可以被解析成对象或方法时就可以进行原型链污染(按我理解后端代码应该还得有递归)。我是这样理解的,_proto__属性通过递归修改掉object.prototype,从而将整个原型链进行污染 就这样 easy_signin 扫一下目录 这边有一个api.js 文件读取 然后你会发先flag不在根目录,而且有waf 最后读取/api/sys/urlcode.php,发现这个文件,访问 得到flag 君の名は12345...
第二届帕鲁杯复现wp
webCatBank创建两个账号,test1和test2,第一个想第二个转账1000000,然后第二个在转给M猫,得到flag 猫猫的秘密12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182<script> let token = ''; document.getElementById('loginBtn').addEventListener('click', async () => { const username = document.getElementById('username').value; const password = d...
轩辕杯复现wp
webezflask 焚经一把梭了,直接打开无回显,写进1.txt看的 ezjs 信息泄露 flag ezrce 文件读取flag ezssrf 访问flag ez_web1 文件读取源码 找key伪造cookie 密钥来自环境变量 看看 有个非预期 密钥在这th1s_1s_k3y 伪造成功 这样就可以上传文件了 上传文件我们需要利用reading.html,进行模板渲染,然后打ssti,但是文件会被删除,那么有文件删除,文件上传,文件读取,那我们就可以打条件竞争,多上传,让它在删除之前被我们读取到 得到flag 签到 用head方法提交,到这关很新颖,身份验证ua头 中间的过程就不展示了 ezsql1.0 ctf库下的flag表里的是假flag 只能在去找别的库 得到flag