2024西湖论剑前言有一道misc取证服了，最后一个小时以为我能搞出来，结果各个地方到处卡壳，甚至到了最后一步也卡住，幸好队友最后也解了出来。。。 寄，还得是unknown和23级大佬们带飞，可惜排名不高 这次看看web部分和数据安全部分的phpems only_sql唉，对php连接数据库不熟悉，我只知道jdbc连接存在任意文件读取，没想到php也可以 还得是unknown，我是菜狗 连接上后

春秋杯冬季赛-web前言web 1/3 还以为是小比赛呢，题目难度偏高（我是菜鸡 ezezz_php不难，但我刷题太少了，redis主从复制rce不熟练，耗了很长时间 <?php class Rd { public $ending; public $cl; public $poc; public function __destruc

HGAME-WEEK1web 4/5 2048*16混淆太厉害了，刚开始一直想修改变量值，但是它是动态的，改不成功，只能改bestScore 最后审计代码，发现关键部分 因为它是混淆过的，所以我刚开始几次路过这个地方都不太理解，感觉再难一点就把game-won也放到定义的数组里去混淆了 g[h(432)][h(469)] = function(x) { var n =

Springspring是一个开源的容器 轻量级、非入侵的框架 控制反转(IOC) 和面向切面编程（AOP） IOC(控制反转)推导package com.zero.Dao; public interface UserDao { void getUser(); } package com.zero.Dao; public class UserDaoImpl im

php opcache缓存进行RCE前言关于opcache我是在去年三四月份从B站上的nepnep战队的一个分享会上看到的，当时觉得很难，就记录了一下操作，记住了这个词，然后就没出现过了 再次见到就是Boogipop大佬的文章，不过也没看，一直到现在复现DASCTF X 0psu3的一个题目用到了，就来看一遍，相当于是重新学一遍了 复现一遍Boogipop大佬文章，我这里详细给出了环境搭建的命令（

DASCTF X 0psu3 十一月挑战赛-web 复现前言感觉每次DASCTF的web题都巨难，始终还是自己太菜了 ezfastjson没环境，看WP 访问服务可以看到mysql连接测试。可以猜测后台是用jdbc进行连接测试的。 搭建恶意的mysql服务器。后台是把host和port这些拼接的，那其实只提交host也可以了，再用#符号把后面的脏数据闭合掉。 这里可以使用jdbc的一些参数连接恶意

2023鹏城杯-web 复现前言当时打比赛被爆杀，只写出一个web，一个misc，后来没时间复现，现在来看看 web-1贼简单的pop链 <?php class Hacker { } class H { public $username; } $b = new Hacker(); $a = new H(); $a->usernam

HECTF2023-WEB 复现前言当时报了名，但是忘记打了，快结束了上号看了一下好像都挺难的，都没怎么有思路 唉，太菜了 有的题没有给源代码，就只看看wp，其他的靠当时下载的附件， EZweb 大概就是这两个信息，然后sort传一次票数就增加 当时一点思路没有，痛苦 下面看wp 访问 跳转的投票界面 测了好久发现是sql注入，太不明显了！！！！ 然后就可以使用sqlmap进行梭哈 1.txt

基础知识 变量表达式： ${...} 选择变量表达式： *{...} 消息表达： #{...} 链接 URL 表达式： @{...} 片段表达式： ~{...} 只要没有选定的对象，美元(${…})和星号(*{...})的语法就完全一样 #{

JDK17+ 反射绕过限制前言springboot3.x使用的jdk版本至少是jdk17，在jdk17及之后无法反射 java.* 包下非public 修饰的属性和方法 根据 Oracle的文档，为了安全性，从JDK 17开始对java本身代码使用强封装，原文叫 Strong Encapsulation。任何对 java.* 代码中的非public变量和方法进行反射会抛出InaccessibleO