R4x

NSSCTF WP 11[WEB] [NSSRound#6 Team] check(V2)题解开门 flask 源码: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768# -*- coding: utf-8 -*-from flask import Flask,requestimport tarfileimport osapp = Flask(__name__)app.config['UPLOAD_FOLDER'] = './uploads'app.config['MAX_CONTENT_LENGTH'] = 100 * 1024ALLOWED_EXTENSIONS = set(['tar'])# 只允许上传 tar 后缀文件def allowed_file(filename): ...

源码调试 - php 8.1 backdoor 漏洞复现漏洞简介php 8.1-backdoor, 也就是 PHP 8.1.0-dev User-Agentt 后门导致远程代码执行漏洞。 搭建靶场 Docker 一键复现靶场地址: Github 1docker pull tuwen/phpsrc-debug:8.1-backdoor 构建: 1docker run -it --rm --name debug -p 8080:8080 -p 2222:22 tuwen/phpsrc-debug:8.1-backdoor 远程调试准备用 vscode 远程连接用 vscode 远程连接 docker SSH, 在 vscode 中下载插件 Remote - SSH, 然后在其中输入连接指令: 在 docker 中 执行 hostname -I 以查询 ip 地址; 1ssh -p2222 -i d:/Docker/images/php8_backdoor_src/private.key root@127.0.0.1 之后在 vscode 中远程连接, 会自动安装...

CVE-2025-55182: React2ShellCVE-2025-55182（俗称 React2Shell）是一项于 2025 年 12 月 3 日公开披露的 严重远程代码执行（RCE）漏洞，影响 React Server Components（RSC）及其 Flight 协议实现。该漏洞因 不安全的反序列化 允许未经认证的攻击者通过精心构造的请求触发服务器端任意代码执行，官方给出 CVSS 10.0（最高严重度），被列为顶级危急缺陷。公开披露后，React 官方和主要框架生态（包括 Next.js）迅速发布补丁版本（如 React RSC 包的 19.0.1/19.1.2/19.2.1 及 Next.js 的多个修复版本），并强烈建议尽快升级以避免风险。该漏洞影响广泛：凡使用受影响 React RSC 版本和默认配置的生产应用均可能暴露，包括大量 Next.js 网站和云服务环境，安全厂商观测到披露后数小时内出现扫描和主动利用行为，并被 CISA 纳入已知被利用漏洞目录，成千上万公开 IP 仍易受攻击。 Docker...

NSSCTF WP 10[WEB] [HUBUCTF 2022 新生赛] ezsql题解打开是一个登录界面, 先注册再登录: 注意登录界面对不同的错误有不同的报错, 进一步 fuzz 之后发现此界面似乎没有注入点, 登录一个账号, 再扫一下目录: 又扫到源码了: 一处明显的注入: 1$query=$mysqli->query("update users set age=$_POST[age],nickname='$_POST[nickname]',description='$_POST[description]' where id=$_SESSION[id]"); 后续省略, 依次爆破即可; [WEB] [FBCTF 2019]Event view题解打开并注册一个账户, 发现有个 admin 面板, 路由是 /flag, 猜测需要提权到 admin 用户: 抓包一个活动提交界面: 注意看 cookie:...

NSSCTF WP 9[WEB] [SCTF 2021] rceme代码审计开门源码: 1234567891011121314<?phpif(isset($_POST['cmd'])){ $code = $_POST['cmd']; if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\?|\^|&|\|/ixm',$code)){ die('<script>alert(\'Try harder!\');history.back()</script>'); }else if(';' === preg_replace('/[^\s\(\)]+?\((?R)?\)/', '', $code)){ ...

[buuctf] write up 12[WEB] [DASCTF Oct X 吉林工师 欢迎来到魔法世界～] 迷路的魔法少女题解开门源码: 1234567891011121314151617181920212223242526272829<?phphighlight_file('index.php');extract($_GET);// 将 $_GET 展开error_reporting(0);function String2Array($data){ if($data == '') return array(); @eval("\$array = $data;"); return $array;}if(is_array($attrid) && is_array($attrvalue)){ $attrstr .= 'array('; $attrids = count($attrid); ...

[sekaiCTF 2025] 部分赛题复现错过了今年的 sekai CTF, 做一下里面的题看看; 不得不说 sekai CTF 的 UI 做的非常精美, 看着跟音游一样; 看了一下果然是樱花人办的 [Web] My flask app信息收集前端用 docker 搭完了之后启动: 需要点这个确定, 不过鼠标移动过去按钮就会自己跑; 看一下源码: 12345this.yesBtn.addEventListener('mouseenter', () => this.handleYesHover());handleYesHover() { this.moveButtonsRandomly();} 现在知道这个按钮叫 yesBtn, 试试在控制台直接输入: 1document.getElementById('yesBtn').click(); 输出了个成功文本, 但是好像也没什么用, 考虑别的方向; 目录爆破 扫出控制台界面, 这是一个很经典的 Flask 控制台地址, 需要 PIN 码登录,...

PHP 特性 - 伪协议总结一下 PHP 常见的伪协议的利用条件, 手段, 常用方法; php 伪协议伪协议的通用特性php 内置的伪协议是 stream wrappers, 它既不是网络协议, 也不是外部命令调用; 本质上来说, 它是直接使用这些系统调用来实现的: 123456789fopen()fread()fwrite()fclose()opendir()readdir()stat()unlink()rename() file:// 协议通常用来读取本地文件, 12file_get_contents("file:///etc/passwd");include "file:///var/www/html/config.php"; 启用配置file:// 协议即使在双 off 的情况下也能启用; allow_url_fopen ：off/on allow_url_include：off/on php 源码12345php_stream_open_wrapper_ex() ->...

[NSSCTF] WP 8 - NSS 2025[WEB] [RoarCTF 2019] online_proxy题解打开网站源码, 发现有一处显示了访问 ip: 尝试可以发现此处存在注入, 每次显示的 ip 是上次访问的 ip, 通过添加这一项可以注入: 1X-Forwarded-For: exp: (转载自 nssctf 的师傅) 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950#!/usr/bin/env python3import requeststarget = "http://node1.anna.nssctf.cn:28201/"def execute_sql(sql): print("[*]请求语句：" + sql) return_result = "" payload = "0'|length((" + sql +...

[NSSCTF] WP 7 - NSS 2025 部分wp[Web] ezez_include题解一个上传的读取界面, 尝试发现这里没有禁用 php:// 和 file:// 伪协议, 扫目录: 扫到之后用伪协议读出来: 1php://filter/convert.base64-encode/resource=./upload.php 解码后: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455<?php// 检查并创建上传目录$upload_dir = 'upload/';if (!is_dir($upload_dir)) { mkdir($upload_dir, 0755, true);}$message = '';$uploaded_path = '';if...