文件上传
如果一句话木马已经不好传了,可以尝试直接传php语句,执行命令 单语句可以不写分号,如:<? system(‘ls’)?> 一句话木马eval1<?php @eval($_POST['pass']);?> 1<?= @eval($_POST[...
SSTI
快速判断模板类型123{{7*'7'}} 这个 payload 主要可以快速区分 Jinja2 和 TwigJinja2 输出 7777777 , Twig 输出 49 12345678{&...
php特性
特性php的<?php ?>,<?= ?>标签可以省略末尾?>闭合签,例:<?php `ls`; system(‘ls’)();同system(‘ls’); PHP脚本使用 session_start()时开启session会话,会自动检测...
vmcode
vmcode逆向。mov imm64 给寄存器塞立即数,add 做寄存器加法,store 把一个字节写到 JIT 区,jmp 跳过去执行。这里有两个坑。一个是 store 和 jmp 实际都绑在 r8 上,所以偏移寄存器只能选 VM 的 0 号寄存器;另一个是 mov imm64 过程中会拿 ...
Poisoned Recall
Poisoned Recall这题给了一个 RAG 知识库的向量索引、原始 embedding 和文档元数据。核心是先用离群检测找出被投毒的向量,再把这些异常向量映射回文档,最后按 order_key 排序并从 trace_token[char_offset] 取字符恢复 flag。 READ...
Layer cake
Layer cake整体解法路线是:先通过 Base64 和 Caesar 拿到 Vigenere 密钥,再用 Vigenere 解出 repeating-XOR 密钥,接着从一段 XOR 线索里提取 RC4 口令,最后解出最终密文。 notice.txt 先做 Base64 解码,得到一段全...
Ghost Vault
Ghost Vault解压 ghost_vault.tar.gz 之后,可以发现仓库中的有效信息分散在三个位置: 1.某个旧提交上的 Git note:third shard: horizon 2.stash@{0}^3 中保存的未跟踪文件:second shard: pa...
fiesta
fiesta这题使用了一个自定义的 512 位伪随机数生成器来产生 AES 密钥对应的 seed,但题目只给出了预热很多轮之后的 6 个 256 位输出。关键观察是:题目里的 256 位循环旋转会把 512 位状态拆成两个 256 位半块,因此可以把状态转移写成模 2^256 的方程组。把这些...
reverse it
reverse it前半段大量代码都是运行时和 scanf/printf 噪音。 main 用 %33s 读入输入后,会先对前 32 字节做一次置换,再调用同一个加密函数两次处理两个 16 字节块。 最终比较发生在 data segment 的 offset 1040,长度 32 字节。 把白...
AdminPanel
AdminPanel 直接查看flag.php文件
DevHub+AssetSys
DevHub访问首页可以看到这是一个支持 ZIP 上传与自动解压的“内部代码包分发站”。 在发布包功能中可以,直接查看源码 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647...
Nodejs
jsfuck编码有两种 123451.不可执行jsfuck编码,用js执行后只是字符串2.可执行jsfuck编码,用js执行后可以执行命令可执行jsfuck编码是利用了每个对象都有的constructor,伪代码的结构是[]["flat"]["constructo...
SSRF
构造http请求时必须在每一句后面加上\r\n,结束时为\r\n\r\n,必须要空一行用于区分报文头和报文体 绕过ip绕过: 1234567891011121314151617181920全以127.0.0.1为例长整型: 2130706433http://2130706433/flag十六进...
XSS
绕过伪协议绕过123456789<a href="javascript:alert(1)">click</a><IMG SRC=javascript:alert(‘XSS’)><script> location.href=&q...
