web选手入门pwn(35)——bllhl_fmt
基础x64字符串格式化题,这题做不出来基本就告别字符串格式化了。https://www.polarctf.com/#/page/challenges给了libc 2.35,和以下环境一致。roderi
阅读全文web选手入门pwn(34)——bllhl_book
题目来自https://www.polarctf.com/#/page/challenges没给libc,但libc和如下环境一致(2.35)docker pull roderickchan/debu
阅读全文ssti挑战——wp
前文ssti挑战——有奖金奖金获取情况,因为自己的失误改动过题目,因此改动前后的挑战者独立计算奖金。改动前,JZX第一名,Miku0x39第二名。其中JZX在改动后也做出了非常优秀的解。改动后,无敌暴
阅读全文ssti挑战——热补丁
ssti挑战——有奖金ssti挑战由于本人失误,导致T()可用,使得题目难度大大降低。现在已经修复,请以修复后的环境为准。https://github.com/kezibei/vulnerable-c
阅读全文ssti挑战——有奖金
拒绝废话http://104.160.44.44:8078/login?username=adminhttps://github.com/kezibei/vulnerable-challenge/tr
阅读全文springboot环境下的写文件RCE——so加载篇
springboot环境下的写文件RCEspringboot环境下的写文件RCE——so劫持篇1,如何触发加载so?前文介绍了很多可以劫持的so,如何触发呢?绝大部分System.loadLibrar
阅读全文springboot环境下的写文件RCE——so劫持篇
0,前言可以先看传统写文件RCEspringboot环境下的写文件RCE在写这篇文章的时候其实就已经发现jdk的so劫持手法了,所以fastjson写文件挑战2也是为了这顿醋包的饺子。fastjson
阅读全文fastjson写文件挑战2——两个fastjson链
这个挑战衍生出了两个fastjson链,一个是jdk11_write的1.2.80版本,一个是jdk11_read。可以先回顾一下后期的fastjson io相关链。fastjson 1.2.80的一
阅读全文fastjson写文件挑战2——进展
因为出现了太多非预期的解,不得已发个中途进展。无交互的利用基本是写入恶意so,然后特定手段触发so,预期解也是一样的,只不过预期解藏的比较深。1,77加载恶意so首次利用成功,获得非预期奖金。但这个s
阅读全文fastjson写文件挑战2——有奖金
前情提要fastjson写文件挑战为此我创造了一个更难的环境。http://104.160.44.44:8078/jsonhttps://github.com/kezibei/fastjson_pay
阅读全文遗憾的InternationalFormatter反序列化链
提前祝大家新年快乐。https://xz.aliyun.com/news/15617这篇文章介绍了一个未完成的反序列化链,直接看sink点。InternationalFormatter(Default
阅读全文web选手入门pwn(33)——minihttpd
1,minihttpdhttps://github.com/kezibei/pwn_study/tree/main/ciscn25%E5%86%AC%E5%88%9D%E8%B5%9B自带libc 2
阅读全文最近跟jdbc有关的新知识——jdbc篇(完)
最近跟jdbc有关的新知识——toString篇最近跟jdbc有关的新知识——json篇最近跟jdbc有关的新知识——getter篇最近跟jdbc有关的新知识——ldap篇1,常用jdbc无论是lda
阅读全文jdk8或许也要告别JNDI利用了
一,前言关于java漏洞的利用,无论是原生反序列化,fastjson反序列化,yaml反序列化,xml反序列化,log4j2,jdbc,SSTI等等,都有可能转到JNDI上进一步利用。为此ldap/r
阅读全文web选手入门pwn(32)——hh(字符串格式化)
1.hh(字符串格式化)https://www.polarctf.com/#/32位,不提供libc,用本地2.27做。再明显不过的字符串格式化,需要篡改bss上的hh为0x4才能进入welcome(
阅读全文最近跟jdbc有关的新知识——getter篇
最近跟jdbc有关的新知识——toString篇最近跟jdbc有关的新知识——json篇最近跟jdbc有关的新知识——ldap篇除了TemplatesImpl哪些getter可以造成危害,我之前的文章
阅读全文web选手入门pwn(31.5)——强网杯bph
https://blog.csome.cc/p/house-of-some/这篇文章介绍了一种house of apple2的进阶利用手法house of some,刚好可以用在bph上。先回顾一下h
阅读全文web选手入门pwn(31)——强网杯bph
1. bph(2025强网杯)https://github.com/kezibei/pwn_study/blob/main/bph(2025%E5%BC%BA%E7%BD%91%E6%9D%AF).z
阅读全文web选手入门pwn(30)——鹏城杯VM
1. entanglement (2025鹏城杯VM)题目如下https://github.com/kezibei/pwn_study/tree/main/2025%E9%B9%8F%E5%9F%8E
阅读全文fastjson写文件挑战
一、 从一道题说起某人第三次投其所好,出了一道fastjson题。https://mp.weixin.qq.com/s/DdveJJ6XRulQkNgud9jf4w简单直接的fastjson反序列化,
阅读全文web选手入门pwn(29)——鹏城杯
1. Pivoting(2025鹏城杯)自带libc 2.35,开始一个明显的信息泄露。看起来像栈地址。然后read让你输入一个名字(buf),看起来也有溢出,但似乎覆盖不到任何东西接着看会根据fla
阅读全文Thymeleaf SSTI bypass历史
SSTI(模板注入)某依最新版本稳定4.8.1 RCE (Thymeleaf模板注入绕过)可以先看这两篇文章。1. =3.0.11最早也是无限制的payload,不赘述__${new java.uti
阅读全文另外一种XXE OOB
一、 从一道题说起新手可以先看基础XXEXXE之java补充某人投其所好,给我推荐了一道题。https://mp.weixin.qq.com/s/Hdd1LeWtzqnc2CGIhPIXBA看起来是一
阅读全文web选手入门pwn(28)
1. FILE_IO这题自带libc 2.34,本地可以用2.35-0ubuntu3_amd64做会比较简单,这里我用2.34-0ubuntu3_amd64做。非常简单直接的IO利用,打IO通常是作为
阅读全文神奇的order by注入——第二篇
一、 泛用检测在一次实战中,我碰到了类似这样的检测。 @RequestMapping("/findUser") public String findUser(@Param("key") S
阅读全文最近一些实战的经验总结
1,Websphere回显马可以执行命令,但不能回显结果还好目标有一个简单的报错SRVE0209E: Writer already obtained通过代码搜索,发现位于https://github.
阅读全文一个接口到底能引发多少漏洞
1. lfw 文件写入/文件删除用友NC因为代码比较早期,被挖掘出了很多漏洞,大部分漏洞都并不复杂,适合初学者入门。而且有着自己的漏洞通告平台,我们可以从中找到补丁文件和一些介绍。比如今天的主角Lfw
阅读全文CVE-2019-10086/CVE-2025-48734(commons-beanutils)
一、 CVE复现熟悉java反序列化的人一定对commons-beanutils不陌生,在fastjson/jackson链没出来之前,CB链往往是反序列化环境中唯一能打的链。而且也是转getter,
阅读全文老链新看——CommonsCollections链
1. LazyMap初学者看到这么多链,一下子头都晕了。但实际上分个段就很简单,用什么分段呢?显然有个明显的分界线——LazyMap。CC链的前半段大部分都是如何触发LazyMap.get(),也就是
阅读全文