nodejs
看源码是js污染链漏洞很明显,先注册一个账号登录后,然后重置密码 这里稍微绕过一下就行,请求包: 12345678910111213141516POST /changepassword HTTP/1.1Host: 28f48c68-c9ad-450a-a2e0-eab0001f7e6a.7.d...
nodejs
nodejsSummary这题是一条很典型的 Node.js Web 利用链:先通过 merge() 的递归合并缺陷做 constructor.prototype 原型污染,把普通用户提权为管理员;再利用管理员专属的 /sandbox 功能,结合 vm2@3.10.0 已知逃逸拿到命令执行,最...
MediaDrive
攻击手法:漏洞点主要在preview.php 看源码 12345678910111213141516if (isset($_COOKIE['user'])) { $user = @unserialize($_COOKIE['user'])...
攻击手法
攻击手法主要的服务都在index.py文件中 进来是可以登录表单,先看看路由源码 12345678910111213141516171819@app.route('/login', methods=['GET', 'POST'])de...
N-MinSite
进来是一个minsite,中间又一个url 1http://114.66.24.221:40835/require-maxsite/Y3RmL3VwZGF0ZS1rZXktcmVxdWlyZS1tYXhzaXRlLnBocA== 点击可以得到,key和一个路由 12Key: edge_ke...
N-RustPICA
进来有一个登录注册界面,点击注册发现没有注册功能 在登录界面有一个“查看注册说明”,点击有提示,说的是静态资源目录里有遗留文件 目录扫描看到/debug/config.json,访问得到一个json数据 解码后可以得到密码 直接登录 进入管理后台可以看到有内部...
N-Horse-SSTI盲注
进来就是一个登录框 账号无论输入什么都会显示在页面,没有任何过滤,弹窗也行 但是xss漏洞并不可以利用,ssti测试直接显示 查看请求字段可以看到是一个python,是python加上有任意渲染网页,很任意想到ssti,但是这里测试时没有被执行 很久都没有思路,后面才知道这里用了一个s...
AutoPypy
进来简单看一下,可以知道是个文件上传点,文件上传后再执行文件中的代码,题目给了源码 server.py为主程序 launcher.py利用proot命令创建一个沙盒环境,隔离性相当docker,用于安全执行代码 但是这里挂载的目录是读写模式,这就导致可以把python标准库文件给覆盖掉 12...
Python沙盒逃逸
Python沙盒逃逸查看内置可使用的函数 1print(list(dict(vars()).keys())) 获取builtins模块包含的内容builtins模块中仍包含builtins模块 12import builtinsprint(builtins.globals()) 1...
ez_python
1234567891011121314151617181920212223242526272829303132333435363738394041424344from flask import Flask, requestimport jsonapp = Flask(__name__)def ...
ezpollute
一进来就是一个json更新配置,一看就知道是js原型链污染 给了源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960...
only_real_revenge
在源码找到一个账号密码 登录上去是一个文件上传点,显示身份user,功能不可用,判断是要提权admin 先退出,再登录一次抓包 先放行一次,会又抓到一个请求包,里面有一个token 直接用jwt-cracker,爆破出密钥,为“cdef” 先上传一个png文件 抓包后把后缀改成....
DXT
是个mcp题目,一进来就是一个文件上传点,要求上传.dxt文件,相当于给ai上传一个服务,我们可以上传一个恶意文件,让ai将我们想要的东西发给我们 在这个题目中有很多字段是需要我们去试出来如果没有上传的时候就会报错,加上就可以了 写一个manifest.json 文件,意思是让ai用sh命...
Broken Trust
先注册一个UID 登录进来可以看到有一个管理员工具,我们还是个user 在Refresh Session Data这个功能中可以看到请求包上传了一个uid上去,我们在里面加一个单引号,直接报数据库错了,可以说明这有一个sql注入漏洞 可以看到三个地方都有回显 经过测试为sqlite注...
