R4x

NSSCTF WP 13[MISC] [BJDCTF 2020] 藏藏藏题解题目是一个 jpg 文件, 应该是某种隐写, 先用 stegsolve 打开: 注意, 这是一个非常可疑的 ZIP 文件头; 稍后会总结常见的隐写文件头; 用 foremost 分离: 1foremost ccc.jpg 压缩文件没有密码, 解压后是一个文档, flag 就在文档的 二维码里。 常见隐写文件头 压缩包 格式 十六进制 (Hex) ASCII 标识 备注 ZIP 50 4B 03 04 PK.. 存档文件的开始 ZIP (Empty) 50 4B 05 06 PK.. 目录结束符（常用于寻找文件尾） RAR 4.x 52 61 72 21 1A 07 00 Rar!... 经典 RAR 格式 RAR 5.0 52 61 72 21 1A 07 01 Rar!... RAR5 格式 7-Zip 37 7A BC AF 27 1C 7z..'. 高压缩比格式 图片 格式 十六进制 (Hex) ASCII...

Go Map 无序 + Token 调试记录 记一次全栈项目的调试记录; Token 验证随机失败问题调试报告问题描述订单确认时经常出现 400 “token not match” 错误，但多按几次又能通过。用户在购物车提交订单后，预览页面点击”确认订单”会随机失败。 最初错误假设：JSON 序列化不稳定错误分析一开始怀疑 Go 的 map[string]interface{} 在 JSON 序列化时键序不稳定，导致 Hash 计算结果不同。 验证过程1234// 测试：Go JSON 序列化稳定性m1 := map[string]decimal.Decimal{"subtotal": d1, "total": d2}m2 := map[string]decimal.Decimal{"total": d2, "subtotal": d1}// 结果：两者 JSON 序列化完全相同 结论：虽然 Go 的 map 是无序数据结构, 但是...

NSSCTF WP 12[WEB] [WUSTCTF 2020] 朴实无华题解开门没什么信息, 扫目录: 内容: 12User-agent: *Disallow: /fAke_f1agggg.php 跟进, 没有有价值的信息, 抓包发现信息藏 Header 了: 123456789101112131415161718192021222324252627282930313233343536373839404142<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__file__);//level 1if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) < 2020 && intval($num + 1) > 2021){ echo...

NSSCTF WP 11[WEB] [NSSRound#6 Team] check(V2)题解开门 flask 源码: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768# -*- coding: utf-8 -*-from flask import Flask,requestimport tarfileimport osapp = Flask(__name__)app.config['UPLOAD_FOLDER'] = './uploads'app.config['MAX_CONTENT_LENGTH'] = 100 * 1024ALLOWED_EXTENSIONS = set(['tar'])# 只允许上传 tar 后缀文件def allowed_file(filename): ...

源码调试 - php 8.1 backdoor 漏洞复现漏洞简介php 8.1-backdoor, 也就是 PHP 8.1.0-dev User-Agentt 后门导致远程代码执行漏洞。 搭建靶场 Docker 一键复现靶场地址: Github 1docker pull tuwen/phpsrc-debug:8.1-backdoor 构建: 1docker run -it --rm --name debug -p 8080:8080 -p 2222:22 tuwen/phpsrc-debug:8.1-backdoor 远程调试准备用 vscode 远程连接用 vscode 远程连接 docker SSH, 在 vscode 中下载插件 Remote - SSH, 然后在其中输入连接指令: 在 docker 中 执行 hostname -I 以查询 ip 地址; 1ssh -p2222 -i d:/Docker/images/php8_backdoor_src/private.key root@127.0.0.1 之后在 vscode 中远程连接, 会自动安装...

CVE-2025-55182: React2ShellCVE-2025-55182（俗称 React2Shell）是一项于 2025 年 12 月 3 日公开披露的 严重远程代码执行（RCE）漏洞，影响 React Server Components（RSC）及其 Flight 协议实现。该漏洞因 不安全的反序列化 允许未经认证的攻击者通过精心构造的请求触发服务器端任意代码执行，官方给出 CVSS 10.0（最高严重度），被列为顶级危急缺陷。公开披露后，React 官方和主要框架生态（包括 Next.js）迅速发布补丁版本（如 React RSC 包的 19.0.1/19.1.2/19.2.1 及 Next.js 的多个修复版本），并强烈建议尽快升级以避免风险。该漏洞影响广泛：凡使用受影响 React RSC 版本和默认配置的生产应用均可能暴露，包括大量 Next.js 网站和云服务环境，安全厂商观测到披露后数小时内出现扫描和主动利用行为，并被 CISA 纳入已知被利用漏洞目录，成千上万公开 IP 仍易受攻击。 Docker...

NSSCTF WP 10[WEB] [HUBUCTF 2022 新生赛] ezsql题解打开是一个登录界面, 先注册再登录: 注意登录界面对不同的错误有不同的报错, 进一步 fuzz 之后发现此界面似乎没有注入点, 登录一个账号, 再扫一下目录: 又扫到源码了: 一处明显的注入: 1$query=$mysqli->query("update users set age=$_POST[age],nickname='$_POST[nickname]',description='$_POST[description]' where id=$_SESSION[id]"); 后续省略, 依次爆破即可; [WEB] [FBCTF 2019]Event view题解打开并注册一个账户, 发现有个 admin 面板, 路由是 /flag, 猜测需要提权到 admin 用户: 抓包一个活动提交界面: 注意看 cookie:...

NSSCTF WP 9[WEB] [SCTF 2021] rceme代码审计开门源码: 1234567891011121314<?phpif(isset($_POST['cmd'])){ $code = $_POST['cmd']; if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\?|\^|&|\|/ixm',$code)){ die('<script>alert(\'Try harder!\');history.back()</script>'); }else if(';' === preg_replace('/[^\s\(\)]+?\((?R)?\)/', '', $code)){ ...

[buuctf] write up 12[WEB] [DASCTF Oct X 吉林工师 欢迎来到魔法世界～] 迷路的魔法少女题解开门源码: 1234567891011121314151617181920212223242526272829<?phphighlight_file('index.php');extract($_GET);// 将 $_GET 展开error_reporting(0);function String2Array($data){ if($data == '') return array(); @eval("\$array = $data;"); return $array;}if(is_array($attrid) && is_array($attrvalue)){ $attrstr .= 'array('; $attrids = count($attrid); ...

[sekaiCTF 2025] 部分赛题复现错过了今年的 sekai CTF, 做一下里面的题看看; 不得不说 sekai CTF 的 UI 做的非常精美, 看着跟音游一样; 看了一下果然是樱花人办的 [Web] My flask app信息收集前端用 docker 搭完了之后启动: 需要点这个确定, 不过鼠标移动过去按钮就会自己跑; 看一下源码: 12345this.yesBtn.addEventListener('mouseenter', () => this.handleYesHover());handleYesHover() { this.moveButtonsRandomly();} 现在知道这个按钮叫 yesBtn, 试试在控制台直接输入: 1document.getElementById('yesBtn').click(); 输出了个成功文本, 但是好像也没什么用, 考虑别的方向; 目录爆破 扫出控制台界面, 这是一个很经典的 Flask 控制台地址, 需要 PIN 码登录,...