ezJS
ezJS
[图片缺失] 原始路径:
file:///tmp/lu173706h6mcg.tmp/lu173706h6mem_tmp_19d3550d.png
1,打开靶场,点击登录,就有admin账户,手测密码admin123
[图片缺失] 原始路径:
file:///tmp/lu173706h6mcg.tmp/lu173706h6mem_tmp_66066d9e.png
2.将now改成7*7得到49,存在java ssti漏洞
[图片缺失] 原始路径:
file:///tmp/lu173706h6mcg.tmp/lu173706h6mem_tmp_93e691e5.png
3.经过测试,new会被替换成Wow,T(会替换成NoNo(,flag会替换成xxxx,先查看根目录文件,返回后台
根据HTMl编码将(变成(
输入payload:
现在时间:
[图片缺失] 原始路径:
file:///tmp/lu173706h6mcg.tmp/lu173706h6mem_tmp_f0f36e95.png
可以看到flag文件名为flag_y0u_d0nt_kn0w
4.由于flag被过滤了,这里使用字符拼接绕过过滤
输入payload
现在时间:
得到flag
[图片缺失] 原始路径:
file:///tmp/lu173706h6mcg.tmp/lu173706h6mem_tmp_5b0ba811.png
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Lengkur!
相关推荐
2026-03-30
ezpollute
一进来就是一个json更新配置,一看就知道是js原型链污染 给了源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960...
2026-01-16
web369-ssti-下划线绕过-引号绕过-[]绕过-{{绕过-过滤request
1.get传参变量name为ssti注入点,经过模糊测试过滤如下,寻常调用对象和类的方式都被过滤了 1ffuf -u "http://11a5d5b2-d9ba-490f-86bc-df70f91a8b56.challenge.ctf.show/?name=FUZZ" -...
2026-01-16
web370-ssti-下划线-引号-数字
1.模糊测试加了过滤数字 1{%set b=dict(aaaa)|join|count%}为4,所以这里用count绕过 payload同上一个题一样,只是加了构造数字 1234567891011{%set b=dict(cccccc...
2026-01-20
DeepSleep-py2的input-双写绕过
从题目提示可以知道这的知识点是python2的input函数,在python2中input函数会把用户输入的字符看作命令执行 123raw_input():将用户输入当作字符串处理(安全的)。input():等价于 eval(raw_input()) 查看源码可以看到过滤了很多关键字,检测...
2026-01-16
AI_WAF
SourceURL:file:///home/hack/files-win/CTF/WP/三届长城杯/AI_WAF.docx AI_WAF [图片缺失] 原始路径:file:////tmp/wps-ha...
2026-02-03
calc-js-fuck!
进来是一个计算器,题目是给了源码的,根据题目名和WAF可以知道此题是利用jsfuck编码来执行命令,实现rce 1js引擎可以直接运行jsfuck编码,不需要解码 123456789101112131415161718192021222324252627282930313233343536...