Lengkur

Hi there, I'm Lengkur 🐧 🛡️ Web Security & CTF 🚩 Focus: Web Exploitation / Vulnerability Research. ✍️ Writeups: I pos...

这题和上个upload题多了点字符过滤，后端也过滤了几个关键字，上题的.htaccess文件已经用不了了，找了个新的 123RewriteEngine OnRewriteCond expr "file('/flag') =~ /{pattern...

**系统命令执行函数：**exec,shell_exec,system,passthru,``,pcntl_exec ​ exec,shell_exec不直接显示，system,passthru直接显示，``等同于shell_exec,pcntl_e...

123456os.path.join()函数存在绝对路径拼接漏洞os.path.join(path,*paths)函数用于将多个文件路径连接成一个组合的路径。第一个函数通常包含了基础路径，而之后的每个参数被当作组件拼接到基础路径之后如果拼接的某个路径以 / 开头，那么包括基础路径在内的所有前缀...

php反序列化在请求头传序列化字符串可以url编码，不然有时候会被’;’分割成不完整 魔术方法123456789101112131415__construct:创建对象最先调用__destruct:对象被销毁调用__clone:使用clone复制对象时调用，如clone $obj__get:读...

php伪协议 file://文件路径：例， 1.win：file://C:/flag 2.file:///etc/passwd php://filter：例，php:/...

在 SQL 中，数字和字符串的比较是弱类型的，如果在比较操作中涉及到字符串和数字，SQL 会尝试将字符串转换为数字，那么只要字符串不是以数字开头，比较时都会转为数字 0 SQL队关键字完全不敏感，对数据库，表名，列名，在win系统下不敏感，在linux下绝大多数敏感 堆叠注入数据库：show...

Python内存马老式内存马老版本内存马，现在使用会抛出一个异常了 1234567891011url_for.__globals__['__builtins__']['eval']( "app.add_url_rule( '/she...

如果一句话木马已经不好传了，可以尝试直接传php语句，执行命令 单语句可以不写分号，如：<? system(‘ls’)?> 一句话木马1<?php @eval($_POST['pass']);?> 1<?= @eval($_POST[...

快速判断模板类型123&#123;&#123;7*'7'}} 这个 payload 主要可以快速区分 Jinja2 和 TwigJinja2 输出 7777777 ， Twig 输出 49 12345678&#123;&...

php的<?php ?>,<?= ?>标签可以省略末尾?>闭合签，例：<?php `ls`; system(‘ls’)();同system(‘ls’); PHP脚本使用 session_start()时开启session会话，会自动检测PH...

vmcode逆向。mov imm64 给寄存器塞立即数，add 做寄存器加法，store 把一个字节写到 JIT 区，jmp 跳过去执行。这里有两个坑。一个是 store 和 jmp 实际都绑在 r8 上，所以偏移寄存器只能选 VM 的 0 号寄存器；另一个是 mov imm64 过程中会拿 ...

Poisoned Recall这题给了一个 RAG 知识库的向量索引、原始 embedding 和文档元数据。核心是先用离群检测找出被投毒的向量，再把这些异常向量映射回文档，最后按 order_key 排序并从 trace_token[char_offset] 取字符恢复 flag。 READ...

Layer cake整体解法路线是：先通过 Base64 和 Caesar 拿到 Vigenere 密钥，再用 Vigenere 解出 repeating-XOR 密钥，接着从一段 XOR 线索里提取 RC4 口令，最后解出最终密文。 notice.txt 先做 Base64 解码，得到一段全...