前言队友都不在，一人的LitCtf，简单写了写web题，拿了easy_file和多重宇宙日记的一血还不错。 Webnest_js 普通的登录页面 弱口令爆破，账号是admin，密码是password 星愿信箱漏洞分析 输入什么就会回显，响应包显示是python后端，典型的SSTI 两个花括号被过滤，用百分号格式绕过 测试成功，打payload payload123{%print(l

webPHP签到12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485<?phphighlight_file(__FILE__

回归基本功考点web基本知识，PHP函数绕过，变量覆盖 题解过程User-Agent猜测 根据提示我们需要更改他的User-Agent属性为正确的内容，一个一个尝试直到User-Agent: GaoJiGongChengShiFoYeGe成功得到下一个地址 代码审计123456789101112131415161718192021222324252627282930313233343536373

CVE-2022-25488靶标介绍：Atom CMS v2.0存在sql注入漏洞在/admin/ajax/avatar.php页面 解题 打开网页发现一片空白，尝试读取ajax目录 发现存在的许多php文件 点进去发现是一个sql语句错误，根据id属性去检索数据，我们传入参数id到sqlmap扫描 扫描成功，id属性存在sql注入漏洞，直接sqlmap梭哈结束

EventListenerList触发任意toString之前提到fastjson原生反序列化的时候，那一条链子是通过触发jsonArray的toString方法开始的，这里讲一条新的链子（之前使用的是最经典的BadAttributeValueExpException作为toString的入口） 分析过程javax.swing.event.EventListenerList#readObject1

适合场景很多java题目，大都弄了个类继承ObjectInputStream，重写其resolveClass方法，在里面添加对反序列化类黑名单的校验。 javaGuide1234567891011121314public String deserialize(@RequestParam String payload) { byte[] decode = Base64.get

fastjson 1.2.48版本和依赖jdk：1.8.0_66 maven： 1234567891011<dependency> <groupId>org.javassist</groupId> <artifactId>javassist</artifactId> <version>3.19.0-GA</vers

Cryptomm不躲猫猫题目给出了一个txt文件 1题目中e=65537，给出了多组n和c，此时我们就可以尝试公因数攻击，对所有n进行两两对比看看有没有公因数，如果发现公因数就可以顺势解出明文，python脚本如下： 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849

[HFCTF 2021 Final]hatenum 题解代码审计123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475<?phperror_reporting(0);

0x01环境配置 Jdk 8u71 Comoons-Collections 3.2.1 0x02 触发链过程12345678910HashMap.readObject()HashMap.hash() TiedMapEntry.hashCode() TiedMapEntry.getValue() LazyMap.get() ChainedTran